Vulnerabilidad en Confidant (CVE-2024-45793)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/09/2024
Última modificación:
26/09/2024
Descripción
Confidant es un servicio de gestión de secretos de código abierto que proporciona almacenamiento y acceso a secretos de forma sencilla. Los siguientes endpoints están sujetos a una vulnerabilidad de cross site scripting: GET /v1/credentials, GET /v1/credentials/, GET /v1/archive/credentials/, GET /v1/archive/credentials, POST /v1/credentials, PUT /v1/credentials/, PUT /v1/credentials//, GET /v1/services, GET /v1/services/, GET /v1/archive/services/, GET /v1/archive/services, PUT /v1/services/, PUT /v1/services//. El atacante debe estar autenticado y tener privilegios para crear nuevas credenciales, pero podría utilizar esto para mostrar información y ejecutar secuencias de comandos a otros usuarios en la misma instancia de Confidant. Este problema se ha corregido en la versión 6.6.2. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA