Vulnerabilidad en Cosmos (CVE-2023-49091)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/11/2023
Última modificación:
08/12/2023
Descripción
Cosmos ofrece a los usuarios la posibilidad de autohospedar un servidor doméstico actuando como una puerta de enlace segura a su aplicación, así como un administrador de servidor. Cosmos-server es vulnerable debido a que el encabezado de autorización utilizado para el inicio de sesión del usuario sigue siendo válido y no caduca después del cierre de sesión. Esta vulnerabilidad permite a un atacante utilizar el token para obtener acceso no autorizado a la aplicación/sistema incluso después de que el usuario haya cerrado sesión. Este problema se solucionó en la versión 0.13.0.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.1.15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.1.16:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.1.17:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.4.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.4.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cosmos-cloud:cosmos_server:0.5.0:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página