Vulnerabilidad en la entrada del usuario en elemento de datos de la base de datos en taffyDB en taffy (CVE-2019-10790)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/02/2020

Última modificación:

17/03/2023

Descripción

taffy versiones hasta 2.6.2, permite a atacantes forjar la incorporación de propiedades adicionales en la entrada del usuario procesada por taffy que puede permitir el acceso a cualquiera de los elementos de datos en la base de datos. taffy establece un índice interno para cada elemento de datos en su base de datos. Sin embargo, se encuentra que el índice interno puede ser falsificado agregando propiedades adicionales en la entrada del usuario. Si el índice se encuentra en la consulta, taffyDB ignorará otras condiciones de consulta y devolverá directamente el elemento de datos indexado. Además, el índice interno está en un formato fácil de adivinar (por ejemplo, T000002R000001). Como tal, los atacantes pueden utilizar esta vulnerabilidad para acceder a cualquier elemento de datos en la base de datos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno