Vulnerabilidad en TruffleHog (CVE-2024-43379)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

19/08/2024

Última modificación:

21/08/2024

Descripción

TruffleHog es una herramienta de escaneo de secretos. Antes de la versión 3.81.9, esta vulnerabilidad permitía a un actor malintencionado crear datos de una manera que, cuando los escaneaban detectores específicos, podía hacer que el detector realizara una solicitud no autorizada a un endpoint elegido por el atacante. Para que un exploit sea efectivo, el endpoint de destino debe ser un endpoint GET no autenticado que produzca efectos secundarios. La víctima debe escanear los datos creados con fines malintencionados y tener como objetivo un endpoint para que el exploit tenga éxito. La vulnerabilidad se resolvió en TruffleHog v3.81.9 y versiones posteriores.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno