Vulnerabilidad en Background CMS (CVE-2025-27822)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/03/2025

Última modificación:

07/03/2025

Descripción

Se descubrió un problema en el módulo Masquerade antes de la versión 1.x-1.0.1 para Background CMS. Permite que las personas cambien temporalmente a otra cuenta de usuario. El módulo proporciona un permiso "Hacerse pasar por administrador" para impedir que las personas (que pueden hacerse pasar por administrador) cambien a una cuenta con privilegios administrativos. Este permiso no siempre se respeta y puede permitir que usuarios no administrativos se hagan pasar por administradores. Esta vulnerabilidad se mitiga por el hecho de que un atacante debe tener un rol con el permiso "Hacerse pasar por usuario".

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://backdropcms.org/security/backdrop-sa-contrib-2025-006