Vulnerabilidad en Mitogen (CVE-2019-15149)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-254 Características de seguridad

Fecha de publicación:

18/08/2019

Última modificación:

05/08/2024

Descripción

** EN DISPUTA ** core.py en Mitogen veriones anteriores a 0.2.8 tiene un error tipográfico que elimina el mecanismo de protección de enrutamiento unidireccional en el caso de un proceso hijo iniciado por otro hijo. La extensión Ansible no se ve afectada. NOTA: el proveedor discute este problema porque es explotable solo junto con otros factores hipotéticos, es decir, un caso de uso afectado dentro de una persona que llama a la biblioteca y un error en el código de política del receptor del mensaje que condujo a la dependencia de este mecanismo de protección adicional.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico