Vulnerabilità: CVE-2020-29550

Un problema è stato scoperto nel Urve Corporatura 2020/03/24. La password di un account utente di integrazione (utilizzato per la connessione del 365 Integration Service MS Office) è memorizzato in chiaro nei file di configurazione, nonché nel database. I seguenti file contengono la password in chiaro: Profili / Urve / files / sql_db.backup, Server / dati / pg_wal / 000000010000000A000000DD, Server / dati / base / 16384/18617, e Server / dati / base / 17202/8708746. Questo fa sì che la password da visualizzare come testo in chiaro nel codice HTML come roomsreservationimport_password in / Urve / roomsreservationimport / roomsreservationimport / update-HTML5.


http://seclists.org/fulldisclosure/2020/Dec/49
http://packetstormsecurity.com/files/160726/URVE-Software-Build-24.03.2020-Information-Disclosure.html
https://urve.co.uk/system-rezerwacji-sal
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-042.txt
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29550


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi