PT-2024-2664 · Apache · Apache Aurora
Duc Nguyen
+1
·
Publicado
2024-02-27
·
Atualizado
2025-07-10
·
CVE-2024-27905
CVSS v2.0
9.3
Crítica
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Aurora (versões afetadas não especificadas)
Descrição
O problema está relacionado à exposição de informações confidenciais. Um endpoint que expõe dados internos a usuários não autenticados pode ser usado como um “padding oracle”, permitindo que um invasor anônimo crie um cookie de autenticação válido. Isso poderia, potencialmente, ser combinado com vulnerabilidades em outros componentes para permitir a execução remota de código. O projeto foi descontinuado e não há planos para uma correção.
Recomendações
Como o projeto foi descontinuado e nenhuma versão com correção será lançada, recomenda-se que os usuários busquem uma alternativa.
Restrinja o acesso à instância a usuários confiáveis para minimizar o risco de exploração.
Correção
RCE
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Aurora