Vulnerabilidad en Discourse Patreon (CVE-2022-39355)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

26/10/2022

Última modificación:

28/10/2022

Descripción

Discourse Patreon permite la sincronización entre los grupos de Discourse y las recompensas de Patreon. En los sitios con el inicio de sesión de Patreon habilitado, una vulnerabilidad de autenticación inapropiada podría usarse para tomar el control de la cuenta del foro de la víctima. Esta vulnerabilidad está parcheada en el commit número 846d0121514b35ce42a1636c7d70f6dcee879e del plugin discourse-patreon. Por precaución, cualquier cuenta de Discourse que haya iniciado sesión con una cuenta de Patreon con correo electrónico no verificado será cerrada y le pedirá que verifique su dirección de correo electrónico en su próximo inicio de sesión. Como mitigación, deshabilite la integración de Patreon y cierre la sesión de todos los usuarios con cuentas de Patreon asociadas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto