Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en las API expuestas por el servidor de loklak (CVE-2020-15097)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
02/02/2021
Última modificación:
08/02/2021

Descripción

loklak es una aplicación de servidor de código abierto que puede recopilar mensajes de varias fuentes, incluyendo Twitter. El servidor contiene un índice de búsqueda y una interfaz de intercambio de índices de igual a igual. Todos los mensajes son almacenados en un índice elasticsearch. En loklak menor o igual al commit 5f48476, se presenta una vulnerabilidad de salto de ruta. Una comprobación insuficiente de la entrada en las API expuestas por el servidor de loklak permitió una vulnerabilidad de salto de directorio. Cualquier configuración del administrador y los archivos legibles por la aplicación disponibles en el sistema de archivos alojados pueden ser recuperados por el atacante. Además, el contenido controlado por el usuario podría escribirse en cualquier configuración de administrador y archivos legibles por la aplicación. Esto ha sido parcheado en el commit 50dd692. Los usuarios deberán actualizar sus instancias alojadas de loklak para no ser vulnerables a esta explotación

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:loklak_project:loklak:*:*:*:*:*:*:*:* 2020-01-22 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información