Vulnerabilidad en la interfaz web de usuario en Deluge (CVE-2017-7178)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
18/03/2017
Última modificación:
20/04/2025
Descripción
CSRF ha sido descubierto en la interfaz web de usuario en Deluge en versiones anteriores a 1.3.14. La metodología de explotación implica (1) alojamiento de un plugin manipulado que ejecuta un programa arbitrario desde el archivo __init__.py y (2) provocando que la victima descargue, instale y habilite este complemento.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:deluge-torrent:deluge:*:*:*:*:*:*:*:* | 1.3.14 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://dev.deluge-torrent.org/wiki/ReleaseNotes/1.3.14
- http://git.deluge-torrent.org/deluge/commit/?h=1.3-stable&id=318ab179865e0707d7945edc3a13a464a108d583
- http://git.deluge-torrent.org/deluge/commit/?h=develop&id=11e8957deaf0c76fdfbac62d99c8b6c61cfdddf9
- http://seclists.org/fulldisclosure/2017/Mar/6
- http://www.debian.org/security/2017/dsa-3856
- http://www.securityfocus.com/bid/97041
- https://bugs.debian.org/857903
- https://security.gentoo.org/glsa/201703-06
- http://dev.deluge-torrent.org/wiki/ReleaseNotes/1.3.14
- http://git.deluge-torrent.org/deluge/commit/?h=1.3-stable&id=318ab179865e0707d7945edc3a13a464a108d583
- http://git.deluge-torrent.org/deluge/commit/?h=develop&id=11e8957deaf0c76fdfbac62d99c8b6c61cfdddf9
- http://seclists.org/fulldisclosure/2017/Mar/6
- http://www.debian.org/security/2017/dsa-3856
- http://www.securityfocus.com/bid/97041
- https://bugs.debian.org/857903
- https://security.gentoo.org/glsa/201703-06