Vulnerabilidad en Open Design Alliance CDE (CVE-2024-12564)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

12/12/2024

Última modificación:

08/09/2025

Descripción

Se descubrió una vulnerabilidad de exposición de información confidencial a un actor no autorizado en el SDK de Web de Open Design Alliance CDE antes de 2025.3. Instalar CDE Server con la configuración predeterminada permite que usuarios no autorizados visiten la página de métricas de Prometheus. Esto puede permitir que los atacantes comprendan más cosas sobre la aplicación de destino, lo que puede ayudar en una mayor investigación y explotación.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.opendesign.com/security-advisories