Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Adapt Learning Adapt Authoring Tool (CVE-2024-50672)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
25/11/2024
Última modificación:
27/11/2024

Descripción

Una vulnerabilidad de inyección NoSQL en Adapt Learning Adapt Authoring Tool <= 0.11.3 permite a atacantes no autenticados restablecer las contraseñas de cuentas de usuario y administrador a través de la función "Restablecer contraseña". La vulnerabilidad se produce debido a una validación insuficiente de la entrada del usuario, que se utiliza como consulta en la función find() de Mongoose. Esto permite a los atacantes realizar una toma de control total de la cuenta de administrador. Los atacantes pueden utilizar los privilegios administrativos recién obtenidos para cargar un complemento personalizado para realizar la ejecución remota de código (RCE) en el servidor que aloja la aplicación web.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información