Vulnerabilidad en ILIAS (CVE-2023-45867)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/10/2023

Última modificación:

12/09/2024

Descripción

ILIAS (versión del 12/09/2013) contiene una vulnerabilidad de inclusión de archivos locales Directory Traversal de gravedad media en el módulo ScormAicc. Un atacante con una cuenta privilegiada, que normalmente desempeña el rol de tutor, puede aprovechar esto para obtener acceso no autorizado y potencialmente recuperar archivos confidenciales almacenados en el servidor web. El atacante puede acceder a archivos que el usuario del servidor web www-data puede leer; esto puede incluir archivos de configuración confidenciales y documentos ubicados fuera de documentRoot. La vulnerabilidad es explotada por un atacante que manipula el parámetro del archivo en una URL, insertando secuencias de Directory Traversal para acceder a archivos no autorizados. Esta manipulación permite al atacante recuperar archivos confidenciales, como /etc/passwd, comprometiendo potencialmente la seguridad del sistema. Este problema plantea un riesgo importante para la confidencialidad y se puede explotar de forma remota a través de Internet.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno