CVE

Vulnerabilidad en Open-Xchange (CVE-2024-23193)

Severidad:
MEDIA
Type:
CWE-200 Revelación de información
Fecha de publicación:
06/05/2024
Última modificación:
07/05/2024

Descripción

Los correos electrónicos exportados como PDF se almacenaban en una memoria caché que no consideraba información de sesión específica para la cuenta de usuario relacionada. Los usuarios del mismo nodo de servicio podían acceder a los correos electrónicos de otros usuarios en caso de que se exportaran como PDF por un breve momento hasta que se borraran los cachés. La explotación exitosa requiere una buena sincronización y modificación de múltiples parámetros de solicitud. Implemente las actualizaciones y lanzamientos de parches proporcionados. La caché para exportaciones de PDF ahora tiene en cuenta la información de la sesión del usuario al tomar decisiones de autorización. No se conocen exploits disponibles públicamente.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Severidad 3.x
MEDIA

Referencias a soluciones, herramientas e información