Vulnerabilidad en el envío de un mensaje de chat de Steam en ArchiSteamFarm (CVE-2021-32795)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
26/07/2021
Última modificación:
13/08/2021
Descripción
ArchiSteamFarm es una aplicación C# con el propósito principal de ralentizar las tarjetas de Steam de múltiples cuentas simultáneamente. En las versiones anteriores a 4.3.1.0 se presenta una vulnerabilidad de denegación de servicio (también se conoce como DoS) que permite a un atacante bloquear remotamente una instancia de ASF en ejecución mediante el envío de un mensaje de chat de Steam específicamente diseñado. El usuario que envía el mensaje no necesita estar autorizado dentro del proceso del bot o del ASF. El atacante necesita conocer el "CommandPrefix" de ASF de antemano, pero la mayoría de las configuraciones de ASF se ejecutan con un valor predeterminado sin cambios. Este ataque no permite al atacante obtener ninguna información potencialmente confidencial, como inicios de sesión o contraseñas, no permite ejecutar comandos arbitrarios y de otra manera explotar el bloqueo más. El problema está parcheado en ASF versión V4.3.1.0. La única solución que garantiza una protección completa es ejecutar todos los bots con "OnlineStatus" de "0" (Offline). En esta configuración, ASF es capaz de ignorar incluso el mensaje específicamente diseñado sin intentar interpretarlo
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:archisteamfarm_project:archisteamfarm:*:*:*:*:*:*:*:* | 4.3.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página