Informazioni sul CVE-2022-46164
Account takeover via prototype vulnerability
CWE ID: CWE-665
Base Score (CVSS): N/A
CVE: CVE-2022-46164
Descrizione: NodeBB is an open source Node.js based forum software. Due to a plain object with a prototype being used in socket.io message handling a specially crafted payload can be used to impersonate other users and takeover accounts. This vulnerability has been patched in version 2.6.1. Users are advised to upgrade. Users unable to upgrade may cherry-pick commit `48d143921753914da45926cca6370a92ed0c46b8` into their codebase to patch the exploit.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/NodeBB/NodeBB/security/advisories/GHSA-rf3g-v8p5-p675
- https://github.com/NodeBB/NodeBB/commit/48d143921753914da45926cca6370a92ed0c46b8
Prodotti interessati
- NodeBB – NodeBB
Relazioni con altri prodotti
Produttore:NodeBB
Prodotto: NodeBB
Anno: 2022
CWE: CWE-665
CVSS: 0.0