Vulnerabilidad en 2FAuth (CVE-2024-52597)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

20/11/2024

Última modificación:

04/08/2025

Descripción

2FAuth es una aplicación web para administrar cuentas de autenticación de dos factores (2FA) y generar sus códigos de seguridad. Las versiones anteriores a la 5.4.1 son vulnerables a cross site scripting almacenado debido a encabezados incorrectos en el acceso directo a los SVG cargados. La aplicación permite cargar imágenes en varios lugares. Uno de los tipos de imagen aceptados es el SVG, que permite la creación de secuencias de comandos JS. Por lo tanto, al cargar un SVG malicioso que contiene código JS, un atacante que pueda llevar a una víctima a la imagen cargada podría comprometer la sesión de esa víctima y el acceso a sus tokens. La versión 5.4.1 contiene un parche para el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno