Vulnerabilidad en chatwoot (CVE-2022-3741)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/10/2022

Última modificación:

01/11/2022

Descripción

El impacto varía para cada vulnerabilidad individual en la aplicación. Para la generación de cuentas, es posible, dependiendo de la cantidad de recursos del sistema disponibles, crear un evento DoS en el servidor. Estas cuentas aún deben activarse; sin embargo, es posible identificar el Código de Estado de salida para separar las cuentas que se generan y esperan la verificación por correo electrónico. \n\nPara los directorios de inicio de sesión, es posible realizar intentos de inicio de sesión por fuerza bruta en cualquiera de los portales de inicio de sesión, lo que podría comprometer la cuenta.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto