Vulnerabilidad en Pydio Cells (CVE-2023-32750)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
08/06/2023
Última modificación:
06/01/2025
Descripción
Pydio Cells en la versión 4.1.2 permite ataques de tipo Server-Side Request Forgery (SSRF). Para procesos de larga duración, Pydio Cells permite la creación de trabajos que se ejecutan en segundo plano. El trabajo "remote-download" se puede utilizar para hacer que el backend envíe una solicitud HTTP GET a una URL especificada y guarde la respuesta en nuevo archivo. El archivo de respuesta está entonces disponible en una carpeta especificada por el usuario en Pydio Cells.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pydio:cells:*:*:*:*:*:*:*:* | 3.0.12 (excluyendo) | |
| cpe:2.3:a:pydio:cells:*:*:*:*:*:*:*:* | 4.1.0 (incluyendo) | 4.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.redteam-pentesting.de/advisories/rt-sa-2023-005/
- https://www.redteam-pentesting.de/en/advisories/-advisories-publicised-vulnerability-analyses
- https://www.redteam-pentesting.de/advisories/rt-sa-2023-005/
- https://www.redteam-pentesting.de/en/advisories/-advisories-publicised-vulnerability-analyses