Vulnerabilidad en Valinor (CVE-2022-31140)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/07/2022

Última modificación:

16/07/2022

Descripción

Valinor es una biblioteca de PHP que ayuda a mapear cualquier entrada en una estructura de objetos de valor fuertemente tipados. En versiones anteriores a 0.12.0, Valinor puede usar "Throwable#getMessage()" cuando no debería tener permiso para hacerlo. Esto es un problema en casos como una excepción SQL que muestra un fragmento de SQL, una excepción de conexión a la base de datos que muestra la dirección IP/nombre de usuario/contraseña de la base de datos, o un detalle de tiempo de espera / detalle de memoria agotada. Los atacantes podrían usar esta información para una potencial exfiltración de datos, ataques de denegación de servicio, ataques de enumeración, etc. La versión 0.12.0 contiene un parche para esta vulnerabilidad

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico