Vulnerabilidad en Netmaker (CVE-2022-23650)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
18/02/2022
Última modificación:
08/03/2022
Descripción
Netmaker es una plataforma para crear y administrara redes virtuales superpuestas usando WireGuard. En versiones anteriores a 0.8.5, 0.9.4 y 010.0, se presenta clave criptográfica embebida en el código base que puede ser explotada para ejecutar comandos de administrador en un servidor remoto si el explotador conoce la dirección y el nombre de usuario del administrador. Esto afecta al componente del servidor (netmaker), y no a los clientes. Esto ha sido parcheado en Netmaker v0.8.5, v0.9.4 y v0.10.0. Actualmente no se presentan medidas de mitigación conocidas
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gravitl:netmaker:*:*:*:*:*:*:*:* | 0.8.5 (excluyendo) | |
| cpe:2.3:a:gravitl:netmaker:*:*:*:*:*:*:*:* | 0.9.0 (incluyendo) | 0.9.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/gravitl/netmaker/commit/3d4f44ecfe8be4ca38920556ba3b90502ffb4fee
- https://github.com/gravitl/netmaker/commit/e9bce264719f88c30e252ecc754d08f422f4c080
- https://github.com/gravitl/netmaker/pull/781/commits/1bec97c662670dfdab804343fc42ae4b1d050a87
- https://github.com/gravitl/netmaker/security/advisories/GHSA-86f3-hf24-76q4