Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Flarum (CVE-2023-22487)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/01/2023
Última modificación:
19/01/2023

Descripción

Flarum es un software de foro para construir comunidades. Usando la función de menciones proporcionada por la extensión flarum/mentions, los usuarios pueden mencionar cualquier ID de publicación en el foro con la sintaxis especial `@""#p`. El siguiente comportamiento nunca cambia, sin importar si el actor debería poder leer la publicación mencionada o no: se inserta una URL a la publicación mencionada en el HTML de la publicación del actor, filtrando su ID de discusión y número de publicación. La relación `mentionsPosts` incluida en las respuestas JSON `POST /api/posts` y `PATCH /api/posts/` filtra el payload JSON:API completa de todas las publicaciones mencionadas sin ningún control de acceso. Esto incluye el contenido, la fecha, el número y los atributos agregados por otras extensiones. Un atacante sólo necesita la capacidad de crear nuevas publicaciones en el foro para explotar la vulnerabilidad. Esto funciona incluso si las nuevas publicaciones requieren aprobación. Si tienen la capacidad de editar publicaciones, el ataque se puede realizar de manera aún más discreta usando una sola publicación para escanear cualquier tamaño de base de datos y ocultando el contenido de la publicación del ataque luego. El ataque permite la filtración de todas las publicaciones en la base de datos del foro, incluidas las publicaciones en espera de aprobación, las publicaciones en etiquetas a las que el usuario no tiene acceso y las discusiones privadas creadas por otras extensiones como FriendsOfFlarum Byobu. Esto también incluye publicaciones que no son comentarios, como cambios de etiquetas o cambios de nombre de eventos. El payload de la discusión no se filtra, pero utilizando el payload HTML de mención es posible extraer el ID de la discusión de todas las publicaciones y combinar todas las publicaciones nuevamente en sus discusiones originales, incluso si el título de la discusión sigue siendo desconocido. Todas las versiones de Flarum anteriores a la 1.6.3 se ven afectadas. La vulnerabilidad ha sido reparada y publicada como flarum/core v1.6.3. Como workaround, el usuario puede desactivar la extensión de menciones.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:flarum:flarum:*:*:*:*:*:*:*:* 1.6.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información