Vulnerabilidad en Puncia (CVE-2024-41124)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-311
Ausencia de cifrado en información sensible
Fecha de publicación:
19/07/2024
Última modificación:
15/04/2026
Descripción
Puncia es la utilidad CLI oficial para Subdomain Center y Exploit Observer. `API_URLS` utiliza HTTP en lugar de HTTPS para comunicaciones que pueden provocar problemas como escuchas ilegales, manipulación de datos, acceso no autorizado a datos y ataques MITM. Este problema se solucionó en la versión 0.21 mediante el uso de conexiones https en lugar de http. Se recomienda a todos los usuarios que actualicen. No se conocen soluciones para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/ARPSyndicate/puncia/commit/033f3b68126eabbb2040ce16e2c3a2ce17437fbd#diff-3ec6c2de51e702726b23c452e3f4a899f6f4253af9fbf5be7254a5c1407ab526
- https://github.com/ARPSyndicate/puncia/issues/8
- https://github.com/ARPSyndicate/puncia/security/advisories/GHSA-rwcj-7jjp-4w38
- https://github.com/ARPSyndicate/puncia/commit/033f3b68126eabbb2040ce16e2c3a2ce17437fbd#diff-3ec6c2de51e702726b23c452e3f4a899f6f4253af9fbf5be7254a5c1407ab526
- https://github.com/ARPSyndicate/puncia/issues/8
- https://github.com/ARPSyndicate/puncia/security/advisories/GHSA-rwcj-7jjp-4w38