Vulnerabilidad en devise_masquerade gem (CVE-2021-28680)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/12/2021
Última modificación:
13/12/2021
Descripción
devise_masquerade gem versiones anteriores a 1.3, permite determinados ataques cuando se desconoce el salt de una contraseña. Una aplicación que usa esta gema para permitir a administradores enmascarar/impersonar a usuarios pierde una capa de protección de seguridad en comparación con una situación en la que se usa Devise (sin esta extensión). Si el valor de secret_key_base del lado del servidor se hace públicamente conocido (por ejemplo, si es comprometido a un repositorio público por error), todavía se presentan otras protecciones en el lugar que impiden a un atacante hacerse pasar por cualquier usuario en el sitio. Cuando no se usa el enmascaramiento en una aplicación devise_masquerade, uno debe conocer el salt de la contraseña del usuario objetivo si quiere cifrar y firmar una cookie de sesión válida. Sin embargo, cuando es usada devise_masquerade, un atacante puede decidir a qué usuario volverá la acción "back" sin conocer el salt de la contraseña de ese usuario y simplemente conociendo el ID del usuario, al manipular la cookie de sesión y fingiendo que un usuario ya está enmascarado por un administrador
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:devise_masquerade_project:devise_masquerade:*:*:*:*:*:ruby:*:* | 1.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página