Vulnerabilidad en Querybook (CVE-2024-28251)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

14/03/2024

Última modificación:

04/09/2025

Descripción

Querybook es una interfaz de usuario de consulta de Big Data que combina metadatos de tablas colocadas y una interfaz de cuaderno simple. La funcionalidad de documentos de datos de Querybook funciona mediante un servidor Websocket. El cliente habla con este WSS cada vez que actualiza, elimina o lee cualquier celda, así como para observar el estado en vivo de las ejecuciones de consultas. Actualmente, la configuración CORS permite todos los orígenes, lo que podría resultar en el secuestro de websocket entre sitios y permitir a los atacantes leer/editar/eliminar documentos de datos del usuario. Este problema se solucionó en la versión 3.32.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.60 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo