Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el panel de administración de Strapi (CVE-2022-30618)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/05/2022
Última modificación:
06/06/2022

Descripción

Un usuario autenticado con acceso al panel de administración de Strapi puede visualizar datos privados y confidenciales, como el correo electrónico y los tokens de restablecimiento de contraseña, para los usuarios de la API si los tipos de contenido accesibles para el usuario autenticado contienen relaciones con los usuarios de la API (from:users-permissions). Se presentan muchos escenarios en los que estos detalles de los usuarios de la API pueden filtrarse en la respuesta JSON dentro del panel de administración, ya sea mediante una relación directa o indirecta. El acceso a esta información permite a un usuario comprometer las cuentas de estos usuarios si los endpoints de la API de restablecimiento de contraseña han sido habilitados. En el peor de los casos, un usuario con pocos privilegios podría acceder a una cuenta de la API con altos privilegios, y podría leer y modificar cualquier dato, así como bloquear el acceso tanto al panel de administración como a la API al revocar los privilegios de todos los demás usuarios

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: AV:N/AC:M/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:strapi:strapi:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.6.10 (excluyendo)
cpe:2.3:a:strapi:strapi:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.1.10 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información