Vulnerabilidad en Strapi (CVE-2024-31217)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/06/2024

Última modificación:

26/09/2024

Descripción

Strapi es un sistema de gestión de contenidos de código abierto. Antes de la versión 4.22.0, había una vulnerabilidad de denegación de servicio en el proceso de carga de medios que provocaba que el servidor fallara sin reiniciarse, lo que afectaba los entornos de desarrollo y producción. Por lo general, los errores en la aplicación hacen que registre el error y lo mantenga ejecutándose para otros clientes. Este comportamiento, por el contrario, detiene la ejecución del servidor, haciéndolo no disponible para ningún cliente hasta que se reinicie manualmente. Cualquier usuario con acceso a la función de carga de archivos puede aprovechar esta vulnerabilidad, lo que afecta también a las aplicaciones que se ejecutan tanto en modo de desarrollo como en modo de producción. Los usuarios deben actualizar @strapi/plugin-upload a la versión 4.22.0 para recibir un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto