Vulnerabilidad en la política Cross-Origin-Resource-Sharing en Open Zaak (CVE-2020-26251)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/12/2020
Última modificación:
22/12/2020
Descripción
Open Zaak es una capa moderna de datos y servicios de código abierto que habilita a zaakgericht werken, un enfoque Dutch para la gestión de casos. En Open Zaak anterior a la versión 1.3.3, la política Cross-Origin-Resource-Sharing en Open Zaak está actualmente abierta: todos los clientes están autorizados. Esto permite que evil.com ejecutar scripts que realicen llamadas AJAX a instalaciones conocidas de Open Zaak, y el navegador no las bloqueará. Esto estaba destinado a ser aplicado solo a las máquinas de desarrollo que se ejecutan en localhost/127.0.0.1. Open Zaak versión 1.3.3 deshabilita a CORS por defecto, mientras que se puede habilitar por medio de variables de entorno. En realidad, la vulnerabilidad no parece explotable porque: a) La cookie de sesión tiene una política "Same-Site: Lax" que impide que se envíe en peticiones de origen cruzado. b) Todas las páginas que dan acceso a los datos (de producción) están protegidas por inicio de sesión c) "Access-Control-Allow-Credentials" se establece en "false" d) Las comprobaciones de CSRF probablemente bloquean el origen remoto, ya que no se agregan explícitamente a la lista de permitidos de confianza
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openzaak:open_zaak:*:*:*:*:*:*:*:* | 1.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página