Vulnerabilidad en la biblioteca matrix-org/node-irc en matrix-appservice-irc (CVE-2022-39202)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

13/09/2022

Última modificación:

16/09/2022

Descripción

matrix-appservice-irc es un puente IRC de código abierto Node.js para Matrix. El protocolo Internet Relay Chat (IRC) permite especificar múltiples modos en un solo comando de modo. Debido a un error en la biblioteca matrix-org/node-irc subyacente, las versiones afectadas de matrix-appservice-irc llevan a cabo el análisis de dichos modos de forma incorrecta, resultando potencialmente en que sean dados permisos al usuario equivocado. Los comandos de modo sólo pueden ser ejecutados por usuarios privilegiados, por lo que esto sólo puede ser abusado si un operador es engañado para ejecutar el comando en nombre de un atacante. La vulnerabilidad ha sido parcheada en matrix-appservice-irc versión 0.35.0. Como mitigación, los usuarios deben abstenerse de introducir comandos de modo sugeridos por usuarios no confiables. Evite usar varios modos en un solo comando

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo