Vulnerabilidad en Vulnerabilidad en API checker de Pandora FMS (CVE-2023-24515) (CVE-2023-24515)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

22/08/2023

Última modificación:

18/10/2023

Descripción

Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el comprobador de API de Pandora FMS. La aplicación no comprueba el esquema de URL utilizado al recuperar la URL de la API. En lugar de validar el esquema http/https, la aplicación permite otros esquemas como file, lo que podría permitir a un usuario malicioso obtener contenido de ficheros internos. Este problema afecta a Pandora FMS v767 y versiones anteriores en todas las plataformas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno