Vulnerabilidad en dotCMS LLC (CVE-2024-4447)

En System ? Maintenance tool, la pestaña Logged Users muestra datos de ID de sesión para todos los usuarios a través de las llamadas Direct Web Remoting API (UserSessionAjax.getSessionList.dwr). Si bien esta es información que estaría y debería estar disponible para los administradores que poseen poderes de "Sign In As", los administradores que de otro modo carecerían de este privilegio aún podrían utilizar las ID de sesión para imitar a otros usuarios. Si bien se trata de un vector de ataque muy pequeño que requiere permisos muy elevados para su ejecución, su peligro radica principalmente en ofuscar la atribución; todas las operaciones de Sign In As se atribuyen adecuadamente en los archivos de registro, y un administrador malintencionado podría usar esta información para hacer que sus transacciones sean imposibles de rastrear (incluidos aquellos administradores a quienes no se les ha otorgado esta capacidad), como mediante el uso de una ID de sesión para generar un token API. . Corregido en: 24.07.12 / 23.01.20 LTS / 23.10.24v13 LTS / 24.04.24v5 LTS