Vulnerabilidad en una petición web en Orchest (CVE-2022-39268)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

30/09/2022

Última modificación:

04/10/2022

Descripción

### Impacto En un ataque de tipo CSRF, un usuario final inocente es engañado por un atacante para que envíe una petición web que no pretendía. Esto puede causar que sean llevado a cabo acciones en el sitio web que pueden incluir la filtración inadvertida de datos del cliente o del servidor, el cambio del estado de la sesión o la manipulación de la cuenta de un usuario final. ### Parche Actualice a versión 2022.09.10 para parchear esta vulnerabilidad. ### Mitigaciones Reconstruya y redistribuya el Orchest "auth-server" con este commit: https://github.com/orchest/orchest/commit/c2587a963cca742c4a2503bce4cfb4161bf64c2d ### Referencias https://en.wikipedia.org/wiki/Cross-site_request_forgery https://cwe.mitre.org/data/definitions/352.html ### Para más información Si presenta alguna pregunta o comentario sobre este aviso: * Abra una incidencia en https://github.com/orchest/orchest * Envíenos un correo electrónico a rick@orchest.io

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno