Vulnerabilidad en la comprobación de la entrada de algunos parámetros en los endpoints (CVE-2021-29433)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

15/04/2021

Última modificación:

02/08/2022

Descripción

Sydent es un servidor de identidad de Matrix de referencia. En las versiones 2.2.0 y anteriores de Sydent, la falta de validación de la entrada de algunos parámetros en los puntos finales utilizados para confirmar los identificadores de terceros podría causar un uso excesivo de espacio en disco y memoria, lo que llevaría al agotamiento de los recursos. La versión 2.3.0 contiene un parche para esta vulnerabilidad. No se conoce la existencia de soluciones

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico