Vulnerabilidad en Piccolo (CVE-2023-41885)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/09/2023

Última modificación:

15/09/2023

Descripción

Piccolo es un ORM y un generador de consultas que admite asyncio. En las versiones 0.120.0 y anteriores, la implementación de `BaseUser.login` filtra suficiente información a un usuario malicioso para que pueda generar con éxito una lista de usuarios válidos en la plataforma. Como Piccolo por sí solo no exige contraseñas seguras, es probable que estas listas de cuentas válidas se utilicen en un ataque de pulverización de contraseñas con el resultado de un intento de apoderarse de las cuentas de usuario en la plataforma. El impacto de esta vulnerabilidad es menor ya que requiere encadenamiento con otros vectores de ataque para obtener algo más que una simple lista de usuarios válidos en la plataforma subyacente. La probabilidad de que se produzca esta vulnerabilidad es posible ya que requiere habilidades mínimas para lograrla, especialmente dado que la funcionalidad de inicio de sesión subyacente para los sitios basados ??en Piccolo es de código abierto. Este problema se solucionó en la versión 0.121.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno