Vulnerabilidad en EGroupware Enterprise Line, EGroupware Community Edition y EGroupware (CVE-2014-2987)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
26/10/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de CSRF en EGroupware Enterprise Line (EPL) anterior a 1.1.20140505, EGroupware Community Edition anterior a 1.8.007.20140506, y EGroupware anterior a 14.1 beta permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) crean un usuarios administrador a través de una acción admin.uiaccounts.add_user en index.php o (2) modifican configuraciones a través del parámetro newsettings en una acción admin.uiconfig.index en index.php. NOTA: el vector 2 puede utilizarse para ejecutar código PHP arbitrario mediante el aprovechamiento de CVE-2014-2988.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:*:*:*:* | 1.6.001 (incluyendo) | |
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:community:*:*:* | 1.8006 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://advisories.mageia.org/MGASA-2014-0221.html
- http://secunia.com/advisories/58346
- http://www.egroupware.org/changelog
- http://www.egroupware.org/forum#nabble-td3997580
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A087
- http://www.securityfocus.com/archive/1/532103/100/0/threaded
- https://www.htbridge.com/advisory/HTB23212
- http://advisories.mageia.org/MGASA-2014-0221.html
- http://secunia.com/advisories/58346
- http://www.egroupware.org/changelog
- http://www.egroupware.org/forum#nabble-td3997580
- http://www.mandriva.com/security/advisories?name=MDVSA-2015%3A087
- http://www.securityfocus.com/archive/1/532103/100/0/threaded
- https://www.htbridge.com/advisory/HTB23212