Vulnerabilidad en una petición HTTP GET en el archivo de configuración en ELOG (CVE-2019-3992)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
17/12/2019
Última modificación:
07/11/2023
Descripción
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de divulgación de información. Un atacante remoto no autenticado puede acceder al archivo de configuración del servidor mediante el envío de una petición HTTP GET. Entre los datos de configuración, el atacante puede conseguir acceso a los nombres de usuario de administrador válidos y, en versiones anteriores de ELOG, a las contraseñas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:elog_project:elog:*:*:*:*:*:*:*:* | 3.1.4-57bea22 (incluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2IN3FP6VXYSD4OMUCFZNOL7MKPWRQFAL/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4IAS4HI24H2ERKBZTDEVJ3LEQEFWYSCT/
- https://www.tenable.com/security/research/tra-2019-53