Vulnerabilidad en Rapid7 Insight Platform (CVE-2024-11401)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/12/2024

Última modificación:

11/12/2024

Descripción

Las versiones de Rapid7 Insight Platform anteriores al 13 de noviembre de 2024 sufren una vulnerabilidad de escalada de privilegios por la cual, debido a la falta de comprobaciones de autorización, un atacante puede actualizar con éxito la política de contraseñas en la configuración de la plataforma como un usuario estándar mediante la manipulación de una API (la funcionalidad no era posible a través de la interfaz de usuario de la plataforma). Esta vulnerabilidad se ha corregido a partir del 13 de noviembre de 2024.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://cwe.mitre.org/data/definitions/862.html