PT-2024-23663 · Influxdata · Influxdb Oss
Xenom0Rph97
·
Publicado
2024-04-05
·
Atualizado
2026-01-02
·
CVE-2024-30896
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.x a 2.7.11 do InfluxDB OSS
Descrição
A vulnerabilidade permite que usuários autorizados com acesso de leitura ao recurso de autorização da organização padrão recuperem o token de operador administrativo. Isso é possível porque o token é armazenado na organização padrão. Observe-se que administradores com acesso total podem recuperar todos os tokens brutos por meio do comando
influx auth ls. O fornecedor indica que o recurso de organizações está funcionando conforme o esperado e que os usuários podem optar por adicionar usuários a organizações não padrão. Uma versão futura do InfluxDB 2.x removerá a capacidade de recuperar tokens da API.Recomendações
Para as versões 2.x a 2.7.11 do InfluxDB OSS, considere adicionar usuários a organizações não padrão para minimizar o risco de exploração, já que o recurso de organizações está funcionando conforme o esperado. Além disso, tenha cuidado ao conceder acesso de leitura ao recurso de autorização da organização padrão. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Influxdb Oss