Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en los módulos de Python en Zope (CVE-2021-32674)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
08/06/2021
Última modificación:
21/01/2022

Descripción

Zope es un servidor de aplicaciones web de código abierto. Este aviso amplía el aviso anterior en https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36 con casos adicionales de vulnerabilidades de cruce de expresiones TAL. La mayoría de los módulos de Python no están disponibles para su uso en expresiones TAL que se pueden añadir a través de la web, por ejemplo en las plantillas de páginas de Zope. Esta restricción evita el acceso al sistema de archivos, por ejemplo a través del módulo 'os'. Pero algunos de los módulos no confiables están disponibles indirectamente a través de los módulos de Python que están disponibles para su uso directo. Por defecto, es necesario tener el rol de Administrador para añadir o editar Plantillas de Página Zope a través de la web. Sólo los sitios que permiten a los usuarios no confiables añadir/editar Plantillas de Página Zope a través de la web están en riesgo. El problema se ha solucionado en Zope versiones 5.2.1 y 4.6.1. La solución es la misma que para https://github.com/zopefoundation/Zope/security/advisories/GHSA-5pr9-v234-jw36: Un administrador del sitio puede restringir la adición/edición de Plantillas de Página Zope a través de la web utilizando los mecanismos estándar de permisos de usuario/rol de Zope. A los usuarios que no sean de confianza no se les debe asignar el rol de Gestor de Zope y añadir/editar Plantillas de Página Zope a través de la web debe estar restringido sólo a los usuarios de confianza

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zope:zope:*:*:*:*:*:*:*:* 4.6.1 (excluyendo)
cpe:2.3:a:zope:zope:*:*:*:*:*:*:*:* 5.0.0 (incluyendo) 5.2.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información