Vulnerabilidad en OpenText Content Suite Platform (CVE-2022-45922)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/01/2023
Última modificación:
04/04/2025
Descripción
Se descubrió un problema en OpenText Content Suite Platform 22.1 (16.2.19.1803). El controlador de solicitudes para ll.KeepAliveSession establece una cookie AdminPwd válida incluso cuando no se ingresó la contraseña de administrador web. Esto permite el acceso a endpoints, que requieren una cookie AdminPwd válida, sin conocer la contraseña.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opentext:opentext_extended_ecm:*:*:*:*:*:*:*:* | 21.1 (incluyendo) | 22.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/170615/OpenText-Extended-ECM-22.3-File-Deletion-LFI-Privilege-Escsalation.html
- http://seclists.org/fulldisclosure/2023/Jan/14
- https://sec-consult.com/vulnerability-lab/advisory/multiple-post-authentication-vulnerabilities-including-rce-opentexttm-extended-ecm/
- http://packetstormsecurity.com/files/170615/OpenText-Extended-ECM-22.3-File-Deletion-LFI-Privilege-Escsalation.html
- http://seclists.org/fulldisclosure/2023/Jan/14
- https://sec-consult.com/vulnerability-lab/advisory/multiple-post-authentication-vulnerabilities-including-rce-opentexttm-extended-ecm/