Vulnerabilidad en los controles insuficientes sobre el conjunto permitido de permisos en el Google Exposure Notification Verification Server (CVE-2021-22538)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
31/03/2021
Última modificación:
06/04/2021
Descripción
Una vulnerabilidad de escalada de privilegios que afecta al Google Exposure Notification Verification Server (versiones anteriores a 0.23.1), permite a un atacante que (1) tenga permisos de UserWrite y (2) esté usando una petición cuidadosamente diseñada o un proxy malicioso, crear otro usuario con un nivel de privilegios mayores que los suyos. Esto se presenta debido a controles insuficientes sobre el conjunto permitido de permisos. El evento de creación de nuevo usuario se capturaría en el Registro de Eventos.
Impacto
Puntuación base 3.x
8.80
Severidad 3.x
ALTA
Puntuación base 2.0
6.50
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:google:exposure_notifications_verification_server:*:*:*:*:*:*:*:* | 0.23.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/google/exposure-notifications-verification-server/commit/eb8cf40b12dbe79304f1133c06fb73419383cd95
- https://github.com/google/exposure-notifications-verification-server/releases/tag/v0.23.1
- https://github.com/google/exposure-notifications-verification-server/releases/tag/v0.24.0
- https://github.com/google/exposure-notifications-verification-server/security/advisories/GHSA-5v95-v8c8-3rh6