Vulnerabilidad en LiteDB (CVE-2022-23535)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

24/02/2023

Última modificación:

07/11/2023

Descripción

LiteDB es una base de datos integrada .NET NoSQL pequeña, rápida y liviana. Las versiones anteriores a la 5.0.13 están sujetas a la deserialización de datos que no son de confianza. LiteDB utiliza un campo especial en documentos JSON para convertir diferentes tipos, desde `BsonDocument` a clases POCO. Cuando las instancias de un objeto no son las mismas que las de una clase, `BsonMapper` usa un campo especial `_type` con información de cadena con el nombre completo de la clase con el ensamblaje que se cargará y se ajustará a su modelo. Si su usuario final puede enviar a su aplicación una cadena JSON simple, la deserialización puede cargar un objeto inseguro para que quepa en su modelo. Este problema se solucionó en la versión 5.0.13 con algunas correcciones básicas para evitarlo, pero no está 100% garantizado cuando se usa el tipo "Objeto". La próxima versión principal contendrá una lista de permitidos para seleccionar qué tipo de ensamblaje se puede cargar. Los workarounds se detallan en el aviso para proveedores.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto