Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Filament (CVE-2024-51758)

Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/11/2024
Última modificación:
19/11/2024

Descripción

Filament es una colección de componentes full-stack para el desarrollo acelerado de Laravel. Todas las características de Filament que interactúan con el almacenamiento usan la opción de configuración `default_filesystem_disk`. Esto permite al usuario cambiar fácilmente su controlador de almacenamiento a algo listo para producción como `s3` al implementar su aplicación, sin tener que tocar múltiples opciones de configuración y potencialmente olvidarse de algunas. El disco predeterminado está configurado como `public` cuando instala Filament por primera vez, ya que esto permite a los usuarios comenzar rápidamente a desarrollar con un disco funcional que permite características como vistas previas de carga de archivos localmente sin la necesidad de configurar un disco S3 con soporte de URL temporal. Sin embargo, algunas características de Filament, como las exportaciones, también dependen del almacenamiento, y los archivos que se almacenan contienen datos que a menudo no deberían ser públicos. Esto no es un problema para las muchas aplicaciones implementadas, ya que muchas usan un disco predeterminado seguro como S3 en producción. Sin embargo, [CWE-1188](https://cwe.mitre.org/data/definitions/1188.html) sugiere que tener el disco "público" como el disco predeterminado en Filament es una vulnerabilidad de seguridad en sí misma. Como tal, hemos implementado una medida para proteger a los usuarios mediante la cual si el disco "público" se establece como el disco predeterminado, la función de exportaciones lo cambiará automáticamente por el disco "local", si existe. Los usuarios que ya configuran el disco predeterminado como "local" o "s3" no se ven afectados. Si un usuario desea continuar usando el disco "público" para las exportaciones, puede hacerlo configurando el disco de exportación deliberadamente. Este cambio se ha incluido en la versión 3.2.123 y se recomienda a todos los usuarios que usan el disco "público" que actualicen.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.40 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
2.40
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información