Vulnerabilidad en Graylog (CVE-2024-24823)

Graylog es una plataforma de gestión de registros abierta y gratuita. A partir de la versión 4.3.0 y antes de las versiones 5.1.11 y 5.2.4, la nueva autenticación con una cookie de sesión existente reutilizaría esa identificación de sesión, incluso si se trata de credenciales de usuario diferentes. En este caso, la sesión preexistente podría usarse para obtener acceso elevado a una sesión de inicio de sesión de Graylog existente, siempre que el usuario malintencionado pueda inyectar con éxito su cookie de sesión en el navegador de otra persona. La complejidad de un ataque de este tipo es alta, porque requiere presentar una pantalla de inicio de sesión falsificada e inyectar una cookie de sesión en un navegador existente, potencialmente a través de un ataque de cross-site scripting. No se ha descubierto ningún ataque de este tipo. Graylog 5.1.11 y 5.2.4, y cualquier versión de la rama de desarrollo 6.0, contienen parches para no reutilizar sesiones bajo ninguna circunstancia. Algunos workarounds están disponibles. El uso de una caducidad corta de la sesión y cierres de sesión explícitos de las sesiones no utilizadas pueden ayudar a limitar el vector de ataque. Esta vulnerabilidad no está parcheada, pero es relativamente difícil de explotar. Se podría aprovechar un proxy para borrar la cookie de "autenticación" para la URL del servidor Graylog para el endpoint "/api/system/sessions", ya que ese es el único vulnerable.