Vulnerabilidad en huntr.dev (CVE-2024-0551)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

27/02/2024

Última modificación:

04/03/2025

Descripción

Habilite las exportaciones de la base de datos y la información exportada asociada del sistema a través del rol de usuario predeterminado. Al atacado se le debería haber concedido acceso al sistema antes del ataque. Vale la pena señalar que la naturaleza determinista del nombre de exportación presenta un riesgo menor ya que la interfaz de usuario para exportar iniciaría la descarga al mismo tiempo, lo que, una vez descargado, elimina la exportación del sistema. El endpoint para la exportación simplemente debe parchearse con un nivel de privilegio más alto.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno