PT-2021-4287 · Unknown+3 · Hyperkitty+3
Amir Sarabadani
+1
·
Publicado
2021-05-26
·
Atualizado
2022-06-05
·
CVE-2021-33038
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do HyperKitty anteriores à 1.3.5
Descrição
O problema está relacionado a um erro ao importar arquivos de listas de discussão privadas, que ficam acessíveis ao público durante o processo de importação. Isso poderia permitir que um invasor remoto acessasse dados confidenciais. Por exemplo, informações confidenciais poderiam ficar disponíveis na web por uma hora durante uma grande migração do Mailman 2 para o Mailman 3.
Recomendações
Para versões do HyperKitty anteriores à 1.3.5, atualize para a versão 1.3.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo
management/commands/hyperkitty import.py até que um patch esteja disponível. Evite usar o comando hyperkitty import com arquivos de listas de discussão privadas até que o problema seja resolvido.Exploit
Correção
Information Disclosure
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hyperkitty
Mailman 2
Mailman 3
Suse