Vulnerabilidad en el módulo uploader en Nodebb (CVE-2021-43787)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/11/2021

Última modificación:

27/10/2022

Descripción

Nodebb es un software de foros de código abierto basado en Node.js. En las versiones afectadas, una vulnerabilidad de contaminación del prototipo en el módulo uploader permitía a un usuario malicioso inyectar datos arbitrarios (es decir, javascript) en el DOM, teóricamente permitiendo una toma de control de la cuenta cuando era usada junto con una vulnerabilidad de salto de ruta revelada al mismo tiempo que este informe. La vulnerabilidad ha sido parcheada a partir de la versión 1.18.5. Se aconseja a usuarios que actualicen lo antes posible

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno