Vulnerabilidad en alf.io (CVE-2024-45300)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)

Fecha de publicación:

06/09/2024

Última modificación:

29/09/2024

Descripción

alf.io es un sistema de reserva de entradas de código abierto para conferencias, ferias comerciales, talleres y reuniones. Antes de la versión 2.0-M5, una condición de ejecución permitía al usuario eludir el límite de la cantidad de códigos promocionales y usar el cupón de descuento varias veces. En "alf.io", un organizador de eventos puede aplicar descuentos de precios mediante el uso de códigos promocionales en sus eventos. El organizador puede limitar la cantidad de códigos promocionales que se utilizarán para esto, pero el lapso de tiempo entre la verificación de la cantidad de códigos y la restricción del uso de los mismos permite que un actor de amenazas eluda el límite de códigos promocionales. La versión 2.0-M5 soluciona este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno