Vulnerabilidad en Issuetrak 17.1 (CVE-2024-12123)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/12/2024

Última modificación:

04/12/2024

Descripción

Se identificó una vulnerabilidad de manipulación de campos ocultos en la versión 17.1 de Issuetrak que podría ser activada por un usuario autenticado. Cuando un usuario autenticado envía un ticket, la solicitud puede ser interceptada y posteriormente modificada mediante un proxy. El solicitante del ticket puede cambiar de solicitante original a otro usuario en la misma aplicación, que luego la aplicación acepta.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://helpcenter.issuetrak.com/home/2340-issuetrak-release-notes