Vulnerabilidad en el portal online de sourcecodetester Engineers (CVE-2021-43437)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

20/12/2021

Última modificación:

07/11/2023

Descripción

En el portal online de sourcecodetester Engineers a partir del 21-10-21, un atacante puede manipular el encabezado Host visualizada por la aplicación web y causar que la aplicación se comporte de forma inesperada. Muy a menudo varios sitios web están alojados en la misma dirección IP. Aquí es donde entra en juego el encabezado Host. Este encabezado especifica qué sitio web debe procesar la petición HTTP. El servidor web usa el valor de este encabezado para enviar la petición al sitio web especifico. Cada sitio web alojado en la misma dirección IP es denominado host virtual. Y es posible enviar peticiones con encabezados de host arbitrarias al primer host virtual

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico