Vulnerabilidad en dotCMS (CVE-2024-3165)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
01/04/2024
Última modificación:
27/06/2025
Descripción
System->Maintenance-> Log Files en el panel de dotCMS proporciona el nombre de usuario/contraseña para las conexiones de la base de datos en la salida del registro. Sin embargo, este es un problema moderado, ya que requiere un administrador de backend y que las bases de datos estén bloqueadas por el entorno. OWASP Top 10 - A05) Diseño inseguro OWASP Top 10 - A05) Configuración incorrecta de seguridad OWASP Top 10 - A09) Fallo de registro y monitoreo de seguridad
Impacto
Puntuación base 3.x
4.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dotcms:dotcms:*:*:*:*:*:*:*:* | 22.02 (incluyendo) | 22.03.15 (excluyendo) |
| cpe:2.3:a:dotcms:dotcms:*:*:*:*:*:*:*:* | 23.01 (incluyendo) | 23.01.15 (excluyendo) |
| cpe:2.3:a:dotcms:dotcms:*:*:*:*:*:*:*:* | 23.02 (incluyendo) | 23.09.7 (incluyendo) |
| cpe:2.3:a:dotcms:dotcms:23.10.24:1:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:2:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:3:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:4:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:5:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:6:*:*:lts:*:*:* | ||
| cpe:2.3:a:dotcms:dotcms:23.10.24:7:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página