Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en DHIS 2 (CVE-2022-41948)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
08/12/2022
Última modificación:
07/11/2023

Descripción

DHIS 2 es un sistema de información de código abierto para captura, gestión, validación, análisis y visualización de datos. Las versiones afectadas están sujetas a una vulnerabilidad de escalada de privilegios. Un usuario de DHIS2 con autoridad para administrar usuarios puede asignarse privilegios de superusuario manipulando manualmente una solicitud HTTP PUT. Sólo los usuarios con las siguientes autoridades de rol de usuario DHIS2 pueden aprovechar esta vulnerabilidad. Tenga en cuenta que en muchos sistemas los únicos usuarios con privilegios de administrador de usuarios también son superusuarios. En estos casos, la vulnerabilidad de escalada no existe. La vulnerabilidad solo es aprovechable por atacantes que pueden autenticarse como usuarios con autoridad de administrador de usuarios. Como suele tratarse de un grupo de usuarios pequeño y relativamente confiable, los vectores de explotación suelen ser limitados. Los administradores de DHIS2 deben actualizar a las siguientes versiones de revisión: 2.36.12.1, 2.37.8.1, 2.38.2.1, 2.39.0.1. El único workaround conocido para este problema es evitar la asignación de la autoridad de administración de usuarios a cualquier usuario hasta que se haya aplicado el parche.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.20
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* 2.34.0 (incluyendo) 2.36.12.1 (excluyendo)
cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* 2.37.0 (incluyendo) 2.37.8.1 (excluyendo)
cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* 2.38.0 (incluyendo) 2.38.2.1 (excluyendo)
cpe:2.3:a:dhis2:dhis_2:2.39.0:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información