Vulnerabilidad en immudb (CVE-2022-39199)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

22/11/2022

Última modificación:

26/11/2022

Descripción

immudb es una base de datos con prueba y verificación criptográfica incorporada. Los SDK del cliente immudb utilizan el UUID del servidor para distinguir entre diferentes instancias de servidor, de modo que el cliente pueda conectarse a diferentes instancias de immudb y mantener el estado para múltiples servidores. El SDK no valida este uuid y puede aceptar cualquier valor informado por el servidor. Un servidor malicioso puede cambiar el UUID informado engañando al cliente para que lo trate como un servidor diferente, aceptando así un estado completamente irrelevante al que se recuperó previamente del servidor. Este problema se solucionó en la versión 1.4.1. Como workaround, al inicializar un objeto de cliente immudb se puede utilizar un controlador de estado personalizado para almacenar el estado. Se puede utilizar una implementación personalizada que ignore el UUID del servidor para garantizar que incluso si el servidor cambia el UUID, el cliente seguirá considerando que es el mismo servidor.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno