Vulnerabilidad en OpenNMS Horizon y OpenNMS Meridian (CVE-2021-25930)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
20/05/2021
Última modificación:
30/04/2025
Descripción
En OpenNMS Horizon, versiones opennms-1-0-stable hasta opennms-27.1.0-1; OpenNMS Meridian, versiones meridian-foundation-2015.1.0-1 hasta meridian-foundation-2019.1.18-1; versiones meridian-foundation-2020.1.0-1 hasta meridian-foundation-2020.1.6-1, son vulnerables a ataques de tipo CSRF, debido a que no presentan protección de tipo CSRF, y dado que no presenta comprobación de un nombre de usuario existente al cambiar el nombre de un usuario. Como resultado, los privilegios del usuario renombrado están siendo sobrescritos por el usuario anterior y el usuario anterior está siendo eliminado de la lista de usuarios
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opennms:horizon:*:*:*:*:*:*:*:* | 1.0 (incluyendo) | 27.1.1 (excluyendo) |
| cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* | 2015.1.0 (incluyendo) | 2019.1.19 (excluyendo) |
| cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* | 2020.1.0 (incluyendo) | 2020.1.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OpenNMS/opennms/commit/607151ea8f90212a3fb37c977fa57c7d58d26a84
- https://github.com/OpenNMS/opennms/commit/eb08b5ed4c5548f3e941a1f0d0363ae4439fa98c
- https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25930
- https://github.com/OpenNMS/opennms/commit/607151ea8f90212a3fb37c977fa57c7d58d26a84
- https://github.com/OpenNMS/opennms/commit/eb08b5ed4c5548f3e941a1f0d0363ae4439fa98c
- https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25930