Vulnerabilidad en el manejo de "Upload from URL" y archivos adjuntos en Misskey (CVE-2021-39195)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

07/09/2021

Última modificación:

14/09/2021

Descripción

Misskey es una plataforma de microblogging descentralizada de código abierto. En las versiones afectadas se presenta una vulnerabilidad de tipo Server-Side Request Forgery en el manejo de "Upload from URL" y archivos adjuntos remotos. Esto podría resultar en una divulgación de información no pública dentro de la red interna. Esto es corregido en versión 12.90.0. Sin embargo, si esta usando un proxy, necesitará tomar medidas adicionales. Como solución alternativa, este problema puede ser evitado restringiendo apropiadamente el acceso a las redes privadas desde el host donde se ejecuta la aplicación

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno