Análisis incorrecto de URL y exposición de logs confidenciales

En este documento se explica el análisis incorrecto de URL y el acceso a datos confidenciales en la web que han sido reportados.

Gravedad - Media
Actualización de la compilación: 11.3.2404.1
Fecha de publicación de la actualización: 23-feb-2024
Reportado por: lxxk a través del programa Bug Bounty de ManageEngine.

¿Cuál fue el problema?

La URL analizada incorrectamente contiene credenciales de usuario como el dominio, exponiendo información sensible. Esta inconsistencia de los datos se debe a los detalles sensibles del dominio, donde un usuario puede acceder a los datos de actividad web de otro usuario.

Nota: El problema de acceso al log de usuarios sólo se produce dentro del mismo sistema al que acceden varios usuarios.

¿Cómo lo soluciono?

Se recomienda actualizar a la última versión debido a la gravedad de esta vulnerabilidad. Para actualizar, siga los pasos que se indican a continuación:

1. Inicie sesión en la consola del producto y haga clic en el número de compilación actual en la esquina superior derecha.
2. Allí podrá encontrar la última compilación aplicable a su caso. Descargue el PPM y actualice.

Si tiene más preguntas o dudas al respecto, escriba a nuestro equipo de soporte.