CVE

Vulnerabilidad en Quay (CVE-2024-3622)

Severidad:

ALTA

Type:

CWE-256 Almacenamiento de un contraseña en texto claro

Fecha de publicación:

25/04/2024

Última modificación:

26/04/2024

Descripción

Se encontró una falla al usar el registro espejo para instalar Quay. Utiliza un secreto predeterminado, que se almacena en formato de texto plano en uno de los archivos de plantilla de configuración. Este problema puede provocar que todas las instancias de Quay implementadas mediante el registro espejo tengan la misma clave secreta. Esta falla permite que un actor malicioso cree cookies de sesión y, como consecuencia, puede conducir a obtener acceso a la instancia de Quay afectada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Severidad 3.x

ALTA

Vulnerabilidad en Quay (CVE-2024-3622)

Descripción

Impacto

Referencias a soluciones, herramientas e información