Vulnerabilidad en MeshCentral (CVE-2024-26135)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2024
Última modificación:
16/01/2025
Descripción
MeshCentral es un sitio web completo de administración de maquinas. Las versiones anteriores a la 1.1.21 presentan una vulnerabilidad de cross-site websocket hijacking (CSWSH) dentro del endpoint control.ashx. Este componente es el mecanismo principal utilizado dentro de MeshCentral para realizar acciones administrativas en el servidor. La vulnerabilidad se puede explotar cuando un atacante puede convencer a un usuario final víctima de que haga clic en un enlace malicioso a una página que aloja un sitio controlado por el atacante. Luego, el atacante puede originar una conexión websocket entre sitios utilizando código JavaScript del lado del cliente para conectarse a `control.ashx` como usuario víctima dentro de MeshCentral. La versión 1.1.21 contiene un parche para este problema.
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:meshcentral:meshcentral:*:*:*:*:*:*:*:* | 1.1.21 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Ylianst/MeshCentral/commit/f2e43cc6da9f5447dbff0948e6c6024c8a315af3
- https://github.com/Ylianst/MeshCentral/security/advisories/GHSA-cp68-qrhr-g9h8
- https://github.com/Ylianst/MeshCentral/commit/f2e43cc6da9f5447dbff0948e6c6024c8a315af3
- https://github.com/Ylianst/MeshCentral/security/advisories/GHSA-cp68-qrhr-g9h8