PT-2024-19399 · Datahub · Datahub
Amit-Laish
+1
·
Publicado
2024-01-16
·
Atualizado
2024-01-25
·
CVE-2024-22409
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do DataHub anteriores à 0.12.1
Descrição
O DataHub é uma plataforma de metadados de código aberto. Nas versões afetadas, um usuário com privilégios limitados poderia remover um usuário, editar membros de um grupo ou editar as informações do perfil de outro usuário devido a privilégios padrão excessivamente amplos. Esse problema pode resultar na escalada de privilégios para usuários com privilégios limitados, chegando a privilégios de administrador, caso exista um grupo com privilégios de administrador. O problema pode não afetar instâncias que tenham modificado os privilégios padrão.
Recomendações
Para versões anteriores à 0.12.1, atualize para a versão 0.12.1 para resolver o problema. Como solução alternativa temporária, considere modificar os privilégios padrão para restringir as permissões de usuários com privilégios limitados até que a atualização possa ser aplicada. Restrinja o acesso aos recursos de gerenciamento de usuários e edição de membros de grupo para minimizar o risco de exploração.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Datahub