Vulnerabilidad en una petición HTTP POST en respuestas de la API en un evento o sala de chat en vFairs (CVE-2020-26679)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/05/2021

Última modificación:

12/07/2022

Descripción

vFairs versión 3.3 está afectado por permisos no seguros.&#xa0;Cualquier usuario que haya iniciado sesión en una conferencia o evento virtual de vFairs puede modificar la información de perfil o la imagen de perfil de cualquier otro usuario.&#xa0;Después de recibir el número de identificación único de cualquier usuario y el suyo propio, puede ser realizada una petición HTTP POST para actualizar la descripción de su perfil o proporcionar una nueva imagen de perfil.&#xa0;Esto puede conllevar a posibles ataques de tipo cross-site scripting en cualquier usuario, o cargar webshells PHP maliciosos como "profile pictures".&#xa0;Los ID de usuario se pueden determinar fácilmente mediante otras respuestas de la API para un evento o sala de chat

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno