Vulnerabilidad en Mautic (CVE-2024-47055)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/05/2025

Última modificación:

29/05/2025

Descripción

Resumen: Este aviso aborda una vulnerabilidad de seguridad en Mautic relacionada con la función de clonación de segmentos. Esta vulnerabilidad permite a cualquier usuario autenticado clonar segmentos sin las comprobaciones de autorización adecuadas. Referencia directa a objeto insegura (IDOR) / Falta de autorización: Existe una vulnerabilidad de falta de autorización en la acción cloneAction de la administración de segmentos. Esto permite a un usuario autenticado eludir las restricciones de permisos previstas y clonar segmentos incluso si no cuenta con los permisos necesarios para crear nuevos. Mitigación: Actualice Mautic a una versión que implemente las comprobaciones de autorización adecuadas para la acción cloneAction dentro de ListController.php. Asegúrese de que los usuarios que intenten clonar segmentos posean los permisos de creación adecuados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/mautic/mautic/security/advisories/GHSA-vph5-ghq3-q782