Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en TheHive (CVE-2017-18376)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
02/06/2019
Última modificación:
15/09/2023

Descripción

Una comprobación de autorización inapropiada en la API de usuario en TheHive anterior a versión 2.13.4 y versión 3.x anterior a 3.3.1, permite a los usuarios con acceso de solo lectura o lectura/escritura escalar sus privilegios a privilegios de administrador. Esto afecta a la app/controllers/UserCtrl.scala.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:strangebee:thehive:*:*:*:*:*:*:*:* 2.13.4 (excluyendo)
cpe:2.3:a:strangebee:thehive:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.3.1 (excluyendo)