Informazioni sul CVE-2024-25108
Insufficient authorization allowing elevated access to resources in pixelfed
CWE ID: CWE-280
Base Score (CVSS): N/A
CVE: CVE-2024-25108
Descrizione: Pixelfed è una piattaforma di condivisione di foto open source. Quando la verifica delle richieste è stata in modo errato e insufficiente controllata, consentendo agli attaccanti di accedere a funzionalità più di quelle previste dagli utenti, inclusi la funzionalità amministrativa e moderatrice del server Pixelfed. Questa vulnerabilità colpisce ogni versione di Pixelfed tra v0.10.4 e v0.11.9, inclusi. Esiste una prova di concetto di questa vulnerabilità. Questa vulnerabilità colpisce ogni utente locale di un server Pixelfed e può potenzialmente influire sulla capacità del server di feedare. Alcune interazioni utente sono richieste per configurare le condizioni necessarie per esercitare la vulnerabilità, ma l’attaccante potrebbe condurla in modo ritardato, senza che l’interazione utente sia richiesta attivamente. Questa vulnerabilità è stata corretta in versione 0.11.11. Gli utenti sono consigliati di aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/pixelfed/pixelfed/security/advisories/GHSA-gccq-h3xj-jgvf
- https://github.com/pixelfed/pixelfed/commit/7e47d6dccb0393a2e95c42813c562c854882b037
Prodotti interessati
- pixelfed – pixelfed
Relazioni con altri prodotti
Produttore:pixelfed
Prodotto: pixelfed
Anno: 2024
CWE: CWE-280
CVSS: 0.0