漏洞标题
N/A
漏洞描述信息
Dalmark Systems Systeam 2.22.8 Build 1724 存在不正确访问控制漏洞。Systeam 应用程序是一种 ERP 系统,采用基于 SaaS 租户和用户管理混合架构,以及premises 数据库和 Web 应用程序对应关系。在使用临时生成的令牌以消耗 API 资源时,发现了一个 broken 访问控制漏洞。该漏洞允许未授权的 attacker 使用 API 端点生成一个临时的 JWT 令牌,该令牌设计在验证前用于引用正确的租户,并通过直接 API 请求请求系统配置参数。正确利用此漏洞会导致敏感信息泄露。如果在租户中设置了 SMTP 凭据,则完整凭据信息将被公开。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Dalmark Systems Systeam 2.22.8 build 1724 is vulnerable to Incorrect Access Control. The Systeam application is an ERP system that uses a mixed architecture based on SaaS tenant and user management, and on-premise database and web application counterparts. A broken access control vulnerability has been found while using a temporary generated token in order to consume api resources. The vulnerability allows an unauthenticated attacker to use an api endpoint to generate a temporary JWT token that is designed to reference the correct tenant prior to authentication, to request system configuration parameters using direct api requests. The correct exploitation of this vulnerability causes sensitive information exposure. In case the tenant has an smtp credential set, the full credential information is disclosed.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Dalmark Systems Systeam 安全漏洞
漏洞描述信息
Dalmark Systems Systeam是巴西Dalmark Systems公司的一个 Erp 系统。 Dalmark Systems Systeam 2.22.8 build 1724版本存在安全漏洞,攻击者可以通过该漏洞对有效用户进行暴力破解。
CVSS信息
N/A
漏洞类别
其他