Vulnerabilidad en el parámetro direction en las protecciones de ActiveRecord SQL en Administrate (rubygem) (CVE-2020-5257)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

13/03/2020

Última modificación:

18/03/2020

Descripción

En Administrate (rubygem) versiones anteriores a 0.13.0, cuando se ordenaba por atributos en un panel, el parámetro direction no se comprobaba antes de ser interpolado en la consulta SQL. Esto podría presentar una inyección SQL si el atacante fuera capaz de modificar el parámetro "direction" y omitir las protecciones de ActiveRecord SQL. Si bien esto tiene un gran impacto, para explotarlo es necesario acceder a los paneles Administrate, que esperaríamos que estuvieran detrás de la autenticación. Esto está parcheado en la versión 0.13.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno