Informazioni sul CVE-2024-3164
N/A
CWE ID: CWE-284
Base Score (CVSS): N/A
CVE: CVE-2024-3164
Descrizione: In dotCMS dashboard, i moduli “Strumenti e File di Log” sotto Sistema → Manutenzione, che è e sempre è stato un portale di amministrazione, sono accessibili a chiunque abbia questo portale e non solo ai soli amministratori del CMS. Gli utenti che hanno un ruolo di amministrazione del sito ma non un ruolo di amministrazione del sistema, non dovrebbero avere accesso al portale di Manutenzione del Sistema → Strumenti. Questo condividerebbe il nome utente e la password del database e il dump del database e altri contenuti dotCMS Content sotto i File di Log. Nulla nel modulo Sistema → Manutenzione dovrebbe essere visualizzato per gli utenti con il ruolo di amministrazione. Solo gli amministratori del sistema devono avere accesso al portale di Manutenzione. OWASP Top 10 – A01) Controllo di Accesso Incorretto OWASP Top 10 – A04) Progettazione In Sicurezza
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://www.dotcms.com/security/SI-69
- https://github.com/dotCMS/core/pull/27912
- https://github.com/dotCMS/core/issues/27909
Prodotti interessati
- dotCMS – dotCMS core
Relazioni con altri prodotti
Produttore:dotCMS
Prodotto: dotCMS core
Anno: 2024
CWE: CWE-284
CVSS: 0.0