Vulnerabilidad en Apache StreamPipes (CVE-2024-30471)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/07/2024

Última modificación:

01/08/2024

Descripción

Vulnerabilidad de condición de ejecución de tiempo de verificación de tiempo de uso (TOCTOU) en Apache StreamPipes en el registro automático del usuario. Esto permite que un atacante solicite potencialmente la creación de varias cuentas con la misma dirección de correo electrónico hasta que se registre la dirección de correo electrónico, lo que crea muchos usuarios idénticos y corrompe la administración de usuarios de StreamPipe. Este problema afecta a Apache StreamPipes: hasta 0.93.0. Se recomienda a los usuarios actualizar a la versión 0.95.0, que soluciona el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.70

Gravedad 3.x

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:apache:streampipes::::::::		0.95.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://lists.apache.org/thread/8yodrmohgcybq900or3d4hc1msl230fr