Уязвимость реализации прикладного программного интерфейса программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management) связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить полный доступ к устройству
Компенсирующие меры:
- если не используется коннектор DOORS в окружении, необходимо добавить следующие строки в конфигурацию Apache, чтобы ограничить неаутентифицированный доступ:
<If "%{REQUEST_URI} =~ m#^/polarion/doorsconnector/rest#">
Require all denied
</If>
- если коннектор DOORS используется в окружении, необходимо ограничить доступ к конечной точке doorsconnector только для конкретного IP-адреса экземпляра DOORS, с которым Polarion синхронизирует свои данные.
| Балл | 7.5 — высокая опасность |