PT-2024-21647 · Ckan · Ckan
Zuhairorzaki
·
Publicado
2024-03-13
·
Atualizado
2024-03-14
·
CVE-2024-27097
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do CKAN anteriores à 2.9.11
Versões do CKAN anteriores à 2.10.4
Descrição
Um endpoint de usuário não realizava filtragem em um parâmetro recebido, que era adicionado diretamente ao log do aplicativo. Isso poderia permitir que um invasor injetasse entradas falsas no log ou corrompesse o formato do arquivo de log. O problema está relacionado ao endpoint
/user/reset e ao parâmetro id.Recomendações
Para versões do CKAN anteriores à 2.9.11, atualize para a versão 2.9.11 ou posterior.
Para versões do CKAN anteriores à 2.10.4, atualize para a versão 2.10.4 ou posterior.
Como solução alternativa temporária para usuários que não possam atualizar, substitua o endpoint “/user/reset” para filtrar o parâmetro
id, a fim de excluir quebras de linha.Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ckan