Vulnerabilidad en SpiceDB (CVE-2022-21646)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/01/2022

Última modificación:

24/07/2023

Descripción

SpiceDB es un sistema de base de datos para la administración de permisos de aplicaciones críticas para la seguridad. Cualquier usuario que haga uso de una relación de comodines bajo la rama derecha de una "exclusion" o dentro de una operación de "intersection" verá que "Lookup"/"LookupResources" devuelve un recurso como "accessible" si es *no* accesible en virtud de la inclusión del comodín en la intersección o en la parte derecha de la exclusión. En la versión "v1.3.0", el comodín es ignorado por completo en el envío de la búsqueda, lo que hace que el comodín "banned" sea ignorado en la exclusión. La versión 1.4.0 contiene un parche para este problema. Como medida de mitigación, no use comodines en el lado derecho de las intersecciones o dentro de las exclusiones

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno