Vulnerabilidad en zenml-io/zenml (CVE-2024-2032)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)

Fecha de publicación:

06/06/2024

Última modificación:

11/10/2024

Descripción

Existe una vulnerabilidad de condición de ejecución en las versiones de zenml-io/zenml hasta la 0.55.3 incluida, que permite la creación de múltiples usuarios con el mismo nombre de usuario cuando las solicitudes se envían en paralelo. Este problema se solucionó en la versión 0.55.5. La vulnerabilidad surge debido al manejo insuficiente de solicitudes simultáneas de creación de usuarios, lo que genera inconsistencias en los datos y posibles problemas de autenticación. Específicamente, los procesos simultáneos pueden sobrescribir o dañar los datos del usuario, complicando la identificación del usuario y planteando riesgos de seguridad. Este problema es particularmente preocupante para las API que dependen de nombres de usuario como parámetros de entrada, como PUT /api/v1/users/test_race, donde podría generar más complicaciones.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo