CVE

Vulnerabilidad en huntr.dev (CVE-2024-0439)

Severidad:
ALTA
Type:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
26/02/2024
Última modificación:
26/02/2024

Descripción

Como administrador, no debería poder modificar una serie de configuraciones. De hecho, en la interfaz de usuario esto está oculto como una conveniencia para el rol, ya que la mayoría de los gerentes no serían lo suficientemente inteligentes como para modificar esta configuración. Pueden usar su token para modificar esa configuración a través de una solicitud HTTP estándar. Si bien esta no es una vulnerabilidad crítica, de hecho es necesario parchearla para aplicar el nivel de permiso esperado.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.10
Severidad 3.x
ALTA

Referencias a soluciones, herramientas e información