Vulnerabilidad en SDK del cliente immudb (CVE-2022-36111)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

23/11/2022

Última modificación:

27/11/2022

Descripción

immudb es una base de datos con prueba y verificación criptográfica incorporada. En versiones anteriores a la 1.4.1, un servidor immudb malicioso puede proporcionar una prueba falsificada que será aceptada por el SDK del cliente al firmar una transacción falsificada que reemplaza la genuina. Esta situación no puede ser provocada por un servidor immudb genuino y requiere que el cliente realice una lista específica de operaciones verificadas que resultan en la aceptación de un valor de estado no válido. Esta vulnerabilidad solo afecta a los SDK del cliente immudb; el servidor immudb en sí no se ve afectado por esta vulnerabilidad. Este problema se solucionó en la versión 1.4.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno