Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en YugabyteDB Anywhere (CVE-2024-11165)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
13/11/2024
Última modificación:
14/11/2024

Descripción

Existe una vulnerabilidad de divulgación de información en el proceso de configuración de la copia de seguridad, donde el token SAS no está enmascarado en la respuesta de configuración. Este descuido da como resultado una fuga de información confidencial dentro de los archivos de registro yb_backup, lo que expone el token SAS en texto plano. La fuga se produce durante el procedimiento de copia de seguridad, lo que conduce a un posible acceso no autorizado a los recursos asociados con el token SAS. Este problema afecta a YugabyteDB Anywhere: desde 2.20.0.0 hasta 2.20.7.0, desde 2.23.0.0 hasta 2.23.1.0, desde 2024.1.0.0 hasta 2024.1.3.0.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:L/VI:H/VA:L/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:L/VI:H/VA:L/SC:L/SI:L/SA:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0
5.70
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.90 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
3.90
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información