Vulnerabilidad en CubeFS (CVE-2023-46740)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-330 Uso de valores insuficientemente aleatorios

Fecha de publicación:

03/01/2024

Última modificación:

10/01/2024

Descripción

CubeFS es un sistema de almacenamiento de archivos nativo de la nube de código abierto. Antes de la versión 3.3.1, CubeFS usaba un generador de cadenas aleatorias inseguras para generar claves confidenciales específicas del usuario utilizadas para autenticar a los usuarios en una implementación de CubeFS. Esto podría permitir a un atacante predecir y/o adivinar la cadena generada y hacerse pasar por un usuario, obteniendo así mayores privilegios. Cuando CubeFS crea nuevos usuarios, crea una información confidencial para el usuario llamada "clave de acceso". Para crear la "clave de acceso", CubeFS utiliza un generador de cadenas inseguro que hace que sea fácil de adivinar y, por lo tanto, suplantar al usuario creado. Un atacante podría aprovechar el predecible generador de cadenas aleatorias y adivinar la clave de acceso de un usuario y hacerse pasar por el usuario para obtener mayores privilegios. El problema se solucionó en v3.3.1. No hay otra mitigación que actualizar.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto