Vulnerabilidad en CubeFS (CVE-2023-46741)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

03/01/2024

Última modificación:

10/01/2024

Descripción

CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Se encontró una vulnerabilidad en CubeFS anterior a la versión 3.3.1 que podría permitir a los usuarios leer datos confidenciales de los registros, lo que podría permitirles escalar privilegios. CubeFS filtra claves de configuración en formato de texto plano en los registros. Estas claves podrían permitir que cualquiera realice operaciones en blobs para las que de otro modo no tendría permisos. Por ejemplo, un atacante que haya recuperado con éxito una clave secreta de los registros puede eliminar blogs del almacén de blobs. El atacante puede ser un usuario interno con privilegios limitados para leer el registro o puede ser un usuario externo con privilegios aumentados lo suficiente para acceder a los registros. La vulnerabilidad ha sido parcheada en v3.3.1. No hay otra mitigación que la actualización.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto