Уязвимость BDU:2022-03415

Идентификатор: BDU:2022-03415.

Наименование уязвимости: Уязвимость функции сброса пароля системы управления ИТ-активами Snipe-IT, позволяющая нарушителю получить токен сброса пароля и доступ к аккаунту.

Описание уязвимости: Уязвимость функции сброса пароля системы управления ИТ-активами Snipe-IT связана с неверной нейтрализация особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить токен сброса пароля и доступ к аккаунту, путем отправки специально созданного заголовка хоста в запросе
Уязвимое ПО: Прикладное ПО информационных систем Snipe-IT от 3.0-alpha до 5.3.7 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.01.2022.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-23064.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-23064.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-23064
https://github.com/snipe/snipe-it/commit/0c4768fd2a11ac26a61814cef23a71061bfd8bcc
https://www.securitylab.ru/news/531506.php
https://vuldb.com/?id.198794