Vulnerabilidad en los movimientos de páginas en GlobalNewFiles (CVE-2021-32722)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

28/06/2021

Última modificación:

20/09/2021

Descripción

GlobalNewFiles es una extensión de mediawiki. Las versiones anteriores a la 48be7adb70568e20e961ea1cb70904454a671b1d están afectadas por una vulnerabilidad de consumo incontrolado de recursos. Una gran cantidad de movimientos de páginas en un corto espacio de tiempo podría saturar los servidores de la Base de Datos debido a un manejo inadecuado del balanceo de carga y a la falta de un índice apropiado. Como solución, se puede evitar el uso de la extensión a menos que se habilite un límite de velocidad adicional a nivel de MediaWiki o a través de PoolCounter / MySQL. Hay un parche disponible en la versión 48be7adb70568e20e961ea1cb70904454a671b1d

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico