Informazioni sul CVE-2022-39202
IRC mode parameter confusion in matrix-appservice-irc
CWE ID: CWE-269
Base Score (CVSS): N/A
CVE: CVE-2022-39202
Descrizione: matrix-appservice-irc is an open source Node.js IRC bridge for Matrix. The Internet Relay Chat (IRC) protocol allows you to specify multiple modes in a single mode command. Due to a bug in the underlying matrix-org/node-irc library, affected versions of matrix-appservice-irc perform parsing of such modes incorrectly, potentially resulting in the wrong user being given permissions. Mode commands can only be executed by privileged users, so this can only be abused if an operator is tricked into running the command on behalf of an attacker. The vulnerability has been patched in matrix-appservice-irc 0.35.0. As a workaround users should refrain from entering mode commands suggested by untrusted users. Avoid using multiple modes in a single command.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/matrix-org/matrix-appservice-irc/security/advisories/GHSA-cq7q-5c67-w39w
- https://github.com/matrix-org/matrix-appservice-irc/commit/5f87dbed87b4b6dc49b7965ff152ee8535719e67
- https://matrix.org/blog/2022/09/13/security-release-of-matrix-appservice-irc-0-35-0-high-severity/
Prodotti interessati
- matrix-org – matrix-appservice-irc
Relazioni con altri prodotti
Produttore:matrix-org
Prodotto: matrix-appservice-irc
Anno: 2022
CWE: CWE-269
CVSS: 0.0