CVE-2019-19616

Опубликовано: 06 дек. 2019

Источник: nvd

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

An Insecure Direct Object Reference (IDOR) vulnerability in the Xtivia Web Time and Expense (WebTE) interface used for Microsoft Dynamics NAV before 2017 allows an attacker to download arbitrary files by specifying arbitrary values for the recId and filename parameters of the /Home/GetAttachment function.

Ссылки

http://www.nolanbkennedy.com/post/insecure-direct-object-reference-idor-in-xtivia-web-time-and-expense-webte
Third Party Advisory
http://www.nolanbkennedy.com/post/insecure-direct-object-reference-idor-in-xtivia-web-time-and-expense-webte
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:xtivia:web_time_and_expense:*:*:*:*:*:dynamics_365:*:*

Версия до 2017 (исключая)

EPSS

Процентиль: 44%

0.00217

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-639

Связанные уязвимости

GHSA-7qfc-f7pw-crm3

CVSS3: 4.3

github

больше 3 лет назад

BDU:2019-04745

CVSS3: 4.3

fstec

около 6 лет назад

Уязвимость интерфейса Web Time and Expense (WebTE) интегрированной системы управления предприятием Microsoft Dynamics NAV, позволяющая нарушителю получить несанкционированный доступ к произвольным отчетам

EPSS

Процентиль: 44%

0.00217

Низкий

4.3 Medium

CVSS3

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-639