Cross-Site Request Forgery en Free5Gc
INCIBE-2023-0394
Open5Gc, versión 1.1.1.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Free5Gc, un proyecto de código abierto para redes móviles de 5ª generación (5G), la cual ha sido descubierta por Edgar Carrillo Egea.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE:
- CVE-2023-4659: CVSS v3.1: 9,8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-352.
La vulnerabilidad ha sido solucionada en su última versión. Para más información, consultar las referencias.
CVE-2023-4659: vulnerabilidad de Cross-Site Request Forgery, cuya explotación podría permitir a un atacante realizar diferentes acciones en la plataforma como administrador, simplemente cambiando el valor del token a "admin". También es posible realizar peticiones POST, GET y DELETE sin ningún valor de token. Por lo tanto, un usuario remoto sin privilegios es capaz de crear, borrar y modificar usuarios dentro de la aplicación.