Vulnerabilidad en el archivo app/Plugin/GrafanaModule/Controller/GrafanaConfigurationController.php en la funcionalidad Test Connection del Módulo Grafana en openITCOCKPIT (CVE-2020-10791)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
25/03/2020
Última modificación:
27/03/2020
Descripción
El archivo app/Plugin/GrafanaModule/Controller/GrafanaConfigurationController.php en openITCOCKPIT versiones anteriores a 3.7.3, permite a usuarios autenticados remotos activar peticiones TCP salientes (también se conoce como vulnerabilidad de tipo SSRF) por medio de la funcionalidad Test Connection (también se conoce como testGrafanaConnection) del Módulo Grafana.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:it-novum:openitcockpit:*:*:*:*:*:*:*:* | 3.7.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página