Vulnerabilidad en Janssen Project (CVE-2025-53003)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

01/07/2025

Última modificación:

03/07/2025

Descripción

Janssen Project es una plataforma de gestión de identidades y accesos (IAM) de código abierto. Antes de la versión 1.8.0, la API de configuración devolvía resultados sin verificación de alcance. Esto presentaba una amplia área de ataque interna que exponía todo tipo de información del IDP, incluyendo clientes, usuarios, scripts, etc. Este problema se solucionó en la versión 1.8.0. Una solución alternativa a esta vulnerabilidad consiste en que los usuarios bifurquen y compilen la API de configuración, y la parcheen en sus sistemas después del commit 92eea4d.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.20

Gravedad 4.0

ALTA

Vulnerabilidad en Janssen Project (CVE-2025-53003)

Descripción

Impacto

Referencias a soluciones, herramientas e información