PT-2022-27001 · Ckan · Ckan

Publicado

2022-11-22

·

Atualizado

2025-04-29

·

CVE-2022-43685

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 2.9.6 e anteriores do CKAN
Descrição
A vulnerabilidade permite que usuários não autenticados assumam o controle de contas existentes, incluindo contas de superusuário, enviando um ID de usuário existente por meio de uma solicitação HTTP POST. Isso permite que um invasor assuma o controle de uma conta existente.
Recomendações
Para as versões 2.9.6 e anteriores do CKAN, como solução temporária, considere restringir o acesso à funcionalidade de gerenciamento de contas de usuário até que um patch esteja disponível. Evite usar a variável user id nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Authentication

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-862

Identificadores relacionados

CVE-2022-43685
GHSA-M2XP-JXFG-QQ6G
PYSEC-2022-42987

Produtos afetados

Ckan