Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en un archivo "*.etherpad" en Etherpad (CVE-2021-43802)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
09/12/2021
Última modificación:
31/08/2023

Descripción

Etherpad es un editor colaborativo en tiempo real. En las versiones anteriores a 1.8.16, un atacante puede diseñar un archivo "*.etherpad" que, cuando es importado, puede permitirle conseguir privilegios de administrador para la instancia de Etherpad. Esto, a su vez, puede ser usado para instalar un plugin malicioso de Etherpad que puede ejecutar código arbitrario (incluyendo comandos del sistema). Para obtener privilegios, el atacante debe ser capaz de desencadenar la eliminación del estado de "express-session" o esperar a que se limpie el estado de la "sesión express". El núcleo de Etherpad no elimina ningún estado de "express-session", por lo que los únicos ataques conocidos requieren un plugin que pueda eliminar el estado de la sesión o un proceso de limpieza personalizado (como una tarea cron que elimine los registros antiguos de "sessionstorage:*"). El problema ha sido corregido en la versión 1.8.16. Si los usuarios no pueden actualizar a la versión 1.8.16 o instalar los parches manualmente, se presentan varias soluciones disponibles. Los usuarios pueden configurar sus proxies inversos para que rechacen las peticiones a "/p/*/import", lo que bloqueará todas las importaciones, no sólo las de "*.etherpad"; limitar a todos los usuarios el acceso de sólo lectura; y/o evitar la reutilización de los valores de las cookies "express_sid" que hacen referencia al estado de la sesión express eliminada. Puede encontrarse información más detallada y estrategias generales de mitigación en el aviso de seguridad de GitHub

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0
9.00
Gravedad 2.0
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:etherpad:etherpad:*:*:*:*:*:*:*:* 1.8.16 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información