Vulnerabilidad en Octo-STS (CVE-2025-52477)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

26/06/2025

Última modificación:

26/06/2025

Descripción

Octo-STS es una aplicación de GitHub que funciona como un Servicio de Token de Seguridad (STS) para la API de GitHub. Las versiones de Octo-STS anteriores a la v0.5.3 son vulnerables a SSRF no autenticado al abusar de los campos de los tokens de OpenID Connect. Se ha demostrado que los tokens maliciosos activan solicitudes de red internas que podrían reflejar registros de errores con información confidencial. Actualice a la v0.5.3 para resolver este problema. Esta versión incluye conjuntos de parches para sanear la entrada y redactar los registros.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.60

Gravedad 3.x

ALTA

Vulnerabilidad en Octo-STS (CVE-2025-52477)

Descripción

Impacto

Referencias a soluciones, herramientas e información