PT-2022-23161 · Unknown · Rubygems.Org
Segiddins
·
Publicado
2022-09-07
·
Atualizado
2022-09-12
·
CVE-2022-36073
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
RubyGems.org (versões afetadas não especificadas)
Descrição
Um bug no código de confirmação de alteração de senha e e-mail permitia que um invasor alterasse o e-mail de sua conta no RubyGems.org para um endereço de e-mail que não lhe pertencesse. Isso poderia permitir que o invasor salvasse chaves de API dessa conta. Quando um usuário legítimo tenta criar uma conta com seu e-mail e precisa redefinir a senha para obter acesso, o invasor poderia então publicar e remover versões dessas gems.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rubygems.Org