Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en huntr.dev (CVE-2024-0551)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
27/02/2024
Última modificación:
04/03/2025

Descripción

Habilite las exportaciones de la base de datos y la información exportada asociada del sistema a través del rol de usuario predeterminado. Al atacado se le debería haber concedido acceso al sistema antes del ataque. Vale la pena señalar que la naturaleza determinista del nombre de exportación presenta un riesgo menor ya que la interfaz de usuario para exportar iniciaría la descarga al mismo tiempo, lo que, una vez descargado, elimina la exportación del sistema. El endpoint para la exportación simplemente debe parchearse con un nivel de privilegio más alto.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mintplexlabs:anythingllm:*:*:*:*:*:*:*:* 1.0.0 (excluyendo)