Vulnerabilidad en un IRC Bot para interactuar con la API Miraheze en MH-WikiBot (CVE-2020-5302)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

07/04/2020

Última modificación:

09/04/2020

Descripción

MH-WikiBot (un IRC Bot para interactuar con la API Miraheze), presenta un bug que permitía a cualquier usuario no privilegiado acceder a los comandos de administrador en la interfaz IRC al suplantar el Nickname usado por un usuario privilegiado, ya que no se realizó ninguna comprobación para ver si iniciaron sesión. El problema ha sido corregido en el commit 23d9d5b0a59667a5d6816fdabb960b537a5f9ed1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno