Vulnerabilidad en Icinga Web 2 (CVE-2024-24819)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

09/02/2024

Última modificación:

16/02/2024

Descripción

icingaweb2-module-incubator es un proyecto de trabajo de las librerías Icinga Web 2 de última generación. En las versiones afectadas, la clase `gipfl\Web\Form` es la base para varias implementaciones de formularios concretos [1] y proporciona protección contra cross site request forgery (CSRF) de forma predeterminada. Esto se hace agregando automáticamente un elemento con un token CSRF a cualquier formulario, a menos que esté explícitamente deshabilitado, pero incluso si está habilitado, el token CSRF (enviado durante el envío de un formulario por parte de un cliente que depende de él) no se valida. Esto permite a los atacantes realizar cambios en nombre de un usuario que, sin saberlo, interactúa con un enlace o sitio web preparado. La versión 0.22.0 está disponible para solucionar este problema. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto