Vulnerabilidad en h2oai/h2o-3 (CVE-2024-6863)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-749 Exposición de método o función peligrosos

Fecha de publicación:

20/03/2025

Última modificación:

20/03/2025

Descripción

En la versión 3.46.0 de h2oai/h2o-3, un endpoint que expone una herramienta de cifrado personalizada permite a un atacante cifrar cualquier archivo en el servidor objetivo con una clave de su elección. Esta clave también puede sobrescribirse, lo que resulta en un comportamiento similar al de un ransomware. Esta vulnerabilidad permite a un atacante cifrar archivos arbitrarios con claves de su elección, lo que dificulta enormemente que el objetivo recupere las claves necesarias para el descifrado.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://huntr.com/bounties/10f55937-0cba-4530-897f-2abf30ed5270