One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8334876 |
| Date de publication | 2023-05-09 15:15:10 (vue: 2023-05-09 17:06:54) |
| Titre | CVE-2023-32060 |
| Texte | DHIS2 Core contient la couche de service et l'API Web pour DHIS2, un système d'information pour la capture des données.À partir de la branche 2.35 et avant les versions 2.36.13, 2.37.8, 2.38.2 et 2.39.0, lorsque les paramètres de partage de combinaison d'options de catégorie sont configurés pour contrôler l'accès à des événements de programme de suivi ou des étapes de programme spécifiques, le `/Les points de terminaison API TackEdEntityInstances et «/ Events» peuvent inclure tous les événements, quels que soient les paramètres de partage appliqués aux combinaisons d'options de catégorie.Lorsque cette configuration spécifique est présente, les utilisateurs peuvent avoir accès à des événements qu'ils ne devraient pas être en mesure de voir en fonction des paramètres de partage des options de catégorie.Les événements n'apparaîtront pas dans l'interface utilisateur pour les applications de capture ou de capture du tracker basé sur le Web, mais si l'application Android Capture est utilisée, elle sera affichée à l'utilisateur.Les versions 2.36.13, 2.37.8, 2.38.2 et 2.39.0 contiennent une correction pour ce problème.Aucune solution de contournement n'est connue.
DHIS2 Core contains the service layer and Web API for DHIS2, an information system for data capture. Starting in the 2.35 branch and prior to versions 2.36.13, 2.37.8, 2.38.2, and 2.39.0, when the Category Option Combination Sharing settings are configured to control access to specific tracker program events or program stages, the `/trackedEntityInstances` and `/events` API endpoints may include all events regardless of the sharing settings applied to the category option combinations. When this specific configuration is present, users may have access to events which they should not be able to see based on the sharing settings of the category options. The events will not appear in the user interface for web-based Tracker Capture or Capture applications, but if the Android Capture App is used they will be displayed to the user. Versions 2.36.13, 2.37.8, 2.38.2, and 2.39.0 contain a fix for this issue. No workaround is known. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 32060 `/events` `/trackedentityinstances` able access all android api app appear applications applied are based branch but capture category combination combinations configuration configured contain contains control core cve data dhis2 displayed endpoints events fix have include information interface issue known layer may not option options present prior program regardless see service settings sharing should specific stages starting system tracker used user users versions web when which will workaround |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.