Vulnerabilidad en Neo4J (CVE-2013-7259)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
29/04/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de CSRF en Neo4J 1.9.2 permiten a atacantes remotos secuestrar la autenticación de administradores para realizar solicitudes que ejecuten código arbitrario, tal y como fue demostrado por una solicitud hacia (1) db/data/ext/GremlinPlugin/graphdb/execute_script o (2) db/manage/server/console/.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:neo4j:neo4j:1.9.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.diniscruz.com/2013/08/neo4j-csrf-payload-to-start-processes.html
- http://www.openwall.com/lists/oss-security/2014/01/03/3
- http://www.openwall.com/lists/oss-security/2014/01/03/8
- https://github.com/o2platform/DefCon_RESTing/tree/master/Live-Demos/Neo4j
- http://blog.diniscruz.com/2013/08/neo4j-csrf-payload-to-start-processes.html
- http://www.openwall.com/lists/oss-security/2014/01/03/3
- http://www.openwall.com/lists/oss-security/2014/01/03/8
- https://github.com/o2platform/DefCon_RESTing/tree/master/Live-Demos/Neo4j