Vulnerabilidad en Sensu, Inc. Sensu Core (CVE-2018-1000060)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-532 Exposición de información a través de archivos de log

Fecha de publicación:

09/02/2018

Última modificación:

03/10/2019

Descripción

Sensu, Inc. Sensu Core, en versiones anteriores a la 1.2.0 antes del commit con ID 46ff10023e8cbf1b6978838f47c51b20b98fe30b, contiene una vulnerabilidad CWE-522 en Sensu::Utilities.redact_sensitive() que puede resultar en que los datos sensibles de configuración (por ejemplo, las contraseñas) podrían registrarse en texto claro. Este ataque parece ser explotable mediante víctimas con configuraciones que coincidan con un patrón en concreto que observen qué datos sensibles se están enviando en sus archivos de registro de servicio. Parece ser que la vulnerabilidad se ha solucionado en la versión 1.2.1 y siguientes, tras el commit con ID 46ff10023e8cbf1b6978838f47c51b20b98fe30b.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno