Vulnerabilidad en Combodo iTop (CVE-2024-51995)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

07/11/2024

Última modificación:

27/03/2025

Descripción

Combodo iTop es una herramienta de gestión de servicios de TI basada en la web. Un atacante puede solicitar cualquier «ruta» que queramos siempre que especifiquemos una «operación» que esté permitida. Este problema se ha solucionado en la versión 3.2.0 aplicando el mismo patrón de control de acceso que en «UI.php» a la página «ajax.render.php», que no permite enviar «rutas» arbitrarias. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:combodo:itop::::::::		3.2.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/Combodo/iTop/security/advisories/GHSA-3mxr-8r3j-j2j9