Vulnerabilidad en Hoverfly (CVE-2025-54376)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

10/09/2025

Última modificación:

24/09/2025

Descripción

Hoverfly es una herramienta de simulación de API de código abierto. En las versiones 1.11.3 y anteriores, el endpoint WebSocket de administración de Hoverfly /api/v2/ws/logs no está protegido por el mismo middleware de autenticación que protege la API REST de administración. En consecuencia, un atacante remoto no autenticado puede transmitir registros de aplicación en tiempo real (revelación de información) y/o obtener información sobre rutas de archivos internas, cuerpos de solicitud/respuesta y otros datos potencialmente sensibles emitidos en los registros. La versión 1.12.0 contiene una corrección para el problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

8.80

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno