Vulnerabilidad en Users Account Pre-Takeover o Users Account Takeover en el repositorio de GitHub microweber/microweber (CVE-2022-1631)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/05/2022
Última modificación:
19/10/2022
Descripción
Users Account Pre-Takeover o Users Account Takeover, en el repositorio de GitHub microweber/microweber versiones anteriores a 1.2.15. Toma el Control de la Cuenta de la Víctima. Dado que no se presenta confirmación por correo electrónico, un atacante puede crear fácilmente una cuenta en la aplicación usando el correo electrónico de la víctima. Esto permite a un atacante conseguir la preautenticación de la cuenta de la víctima. Además, debido a una falta de comprobación apropiada del correo electrónico proveniente de Social Login y al no comprobar si una cuenta ya existe, la víctima no identificará si una cuenta ya existe. Por lo tanto, la persistencia del atacante será mantenida. Un atacante sería capaz de visualizar todas las actividades llevadas a cabo por el usuario víctima impactando en la confidencialidad e intentando modificar/corromper los datos impactando en el factor de integridad y disponibilidad. Este ataque es más interesante cuando un atacante puede registrar una cuenta desde la dirección de correo electrónico de un empleado. Asumiendo que la organización usa G-Suite, es mucho más impactante secuestrar en la cuenta de un empleado
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:microweber:microweber:*:*:*:*:*:*:*:* | 1.2.15 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página