Vulnerabilidad en tokens de CSRF en la configuración predeterminada en Apache MyFaces Core (CVE-2021-26296)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
19/02/2021
Última modificación:
02/06/2021
Descripción
En la configuración predeterminada, Apache MyFaces Core versiones 2.2.0 hasta 2.2.13, versiones 2.3.0 hasta 2.3.7, versiones 2.3-next-M1 hasta 2.3-next-M4 y 3.0.0-RC1, usan tokens de tipo cross-site request forgery (CSRF) implícitos y explícitos criptográficamente débiles. Debido a esa limitación, es posible (aunque difícil) para un atacante calcular un valor futuro de token CSRF y usar ese valor para engañar al usuario a ejecutar acciones no deseadas en una aplicación
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:myfaces:*:*:*:*:*:*:*:* | 2.2.0 (incluyendo) | 2.2.13 (incluyendo) |
| cpe:2.3:a:apache:myfaces:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | 2.3.7 (incluyendo) |
| cpe:2.3:a:apache:myfaces:2.3:next-m1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:myfaces:2.3:next-m2:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:myfaces:2.3:next-m3:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:myfaces:2.3:next-m4:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:myfaces:3.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/161484/Apache-MyFaces-2.x-Cross-Site-Request-Forgery.html
- http://seclists.org/fulldisclosure/2021/Feb/66
- https://lists.apache.org/thread.html/r2b73e2356c6155e9ec78fdd8f72a4fac12f3e588014f5f535106ed9b%40%3Cannounce.apache.org%3E
- https://security.netapp.com/advisory/ntap-20210528-0007/