Vulnerabilidad en Pixelfed (CVE-2024-25108)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/02/2024

Última modificación:

11/10/2024

Descripción

Pixelfed es una plataforma para compartir fotografías de código abierto. Al procesar las solicitudes, la autorización se verificó de manera inadecuada e insuficiente, lo que permitió a los atacantes acceder a muchas más funciones de las que los usuarios pretendían, incluidas las funciones administrativas y de moderador del servidor Pixelfed. Esta vulnerabilidad afecta a todas las versiones de Pixelfed entre la v0.10.4 y la v0.11.9, inclusive. Existe una prueba de concepto de esta vulnerabilidad. Esta vulnerabilidad afecta a todos los usuarios locales de un servidor Pixelfed y puede afectar potencialmente la capacidad de los servidores para federarse. Se requiere cierta interacción del usuario para configurar las condiciones para poder ejercer la vulnerabilidad, pero el atacante podría realizar este ataque de manera retardada, donde no se requiere activamente la interacción del usuario. Esta vulnerabilidad se ha solucionado en la versión 0.11.11. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto