Vulnerabilidad en Evergreen (CVE-2015-2204)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
01/02/2018
Última modificación:
07/11/2023
Descripción
Evergreen en versiones anteriores a la 2.5.9, 2.6.x anteriores a la 2.6.7 y 2.7.x anteriores a la 2.7.4 permite que atacantes remotos omitan una restricción de acceso y obtengan información sensible sobre la configuración de las unidades organizativas aprovechándose del fallo open-ils.actor.ou_setting.ancestor_default para hacer cumplir view_perm cuando no se proporciona ningún token de autenticación.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:evergreen-ils:evergreen:*:*:*:*:*:*:*:* | 2.5.9 (excluyendo) | |
| cpe:2.3:a:evergreen-ils:evergreen:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.7 (excluyendo) |
| cpe:2.3:a:evergreen-ils:evergreen:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.7.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://evergreen-ils.org/downloads/ChangeLog-2.5.8-2.5.9
- http://evergreen-ils.org/downloads/ChangeLog-2.6.6-2.6.7
- http://evergreen-ils.org/downloads/ChangeLog-2.7.3-2.7.4
- http://evergreen-ils.org/security-releases-evergreen-2-7-4-2-6-7-and-2-5-9/
- http://git.evergreen-ils.org/?p=Evergreen.git%3Ba%3Dcommit%3Bh%3D3a0f1cc7b2efa517ee4cd4c6a682237554fed307
- http://www.openwall.com/lists/oss-security/2015/03/04/3
- http://www.securityfocus.com/bid/72889
- https://bugs.launchpad.net/evergreen/+bug/1424755