PT-2022-23199 · Gravitl · Netmaker

Tweidinger

·

Publicado

2022-09-09

·

Atualizado

2026-05-18

·

CVE-2022-36110

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Netmaker anteriores à 0.15.1
Descrição
O problema está relacionado a funções de autorização inadequadas, que permitem que usuários sem privilégios executem chamadas de API privilegiadas. Se usuários sem privilégios de administrador forem adicionados à plataforma Netmaker, eles poderão usar seus tokens de autenticação para executar funções de nível administrativo por meio da API. Além disso, códigos de resposta diferentes com base nas chamadas de função podem permitir que pessoas não autorizadas determinem nomes de rede no sistema por meio de ataques de força bruta.
Recomendações
Para versões anteriores à 0.15.1, atualize para a versão 0.15.1 seguindo estas etapas:
  1. Execute docker-compose down
  2. Execute docker pull gravitl/netmaker:v0.15.1
  3. Execute docker-compose up -d

Exploit

Correção

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-285CWE-1220

Identificadores relacionados

CVE-2022-36110
GHSA-GGF6-638M-VQMG
GO-2022-0986

Produtos afetados

Netmaker