Vulnerabilidad en django-mfa3 (CVE-2022-24857)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

15/04/2022

Última modificación:

03/02/2023

Descripción

django-mfa3 es una librería que implementa la autenticación multifactor para el framework web django. Lo consigue al modificar la visualización de inicio de sesión normal. Sin embargo, Django presenta una segunda visualización de inicio de sesión para su área de administración. Esta segunda visualización de inicio de sesión no fue modificada, por lo que la autenticación multifactor puede ser omitida. Los usuarios están afectados si han activado tanto django-mfa3 (versiones anteriores a 0.5.0) como django.contrib.admin y no han tomado ninguna otra medida para evitar que los usuarios accedan a la visualización de inicio de sesión del administrador. El problema ha sido corregido en django-mfa3 versión 0.5.0. Es posible mitigar el problema al sobrescribir la ruta de inicio de sesión del administrador, por ejemplo, al añadir la siguiente definición de URL *before* de las rutas del administrador: url("admin/login/", lambda request: redirect(settings.LOGIN_URL)

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico