Vulnerabilidad en la función "this.authProvider.verifyAccessKey"en el token de acceso en Chat Server (CVE-2022-31013)
Severidad:
CRÍTICA
Type:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
31/05/2022
Última modificación:
14/06/2022
Descripción
Chat Server es el servidor de chat de Vartalap, una aplicación de mensajería de código abierto. Las versiones 2.3.2 hasta 2.6.0, sufren de un error en la comprobación del token de acceso, resultando en una omisión de autenticación. La función "this.authProvider.verifyAccessKey" es una función asíncrona, ya que el código no usa "await" para esperar el resultado de la verificación. Cada vez que la función responde con éxito, junto con una excepción no manejada si el token es inválido. Se presenta un parche disponible en la versión 2.6.0
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:chat_server_project:chat_server:*:*:*:*:*:*:*:* | 2.3.2 (incluyendo) | 2.6.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página