Vulnerabilidad en los controles insuficientes sobre el conjunto permitido de permisos en el Google Exposure Notification Verification Server (CVE-2021-22538)
Tipo:
No disponible / Otro tipo
Gravedad:
Media
Fecha publicación :
31/03/2021
Última modificación:
06/04/2021
Descripción
Una vulnerabilidad de escalada de privilegios que afecta al Google Exposure Notification Verification Server (versiones anteriores a 0.23.1), permite a un atacante que (1) tenga permisos de UserWrite y (2) esté usando una petición cuidadosamente diseñada o un proxy malicioso, crear otro usuario con un nivel de privilegios mayores que los suyos. Esto se presenta debido a controles insuficientes sobre el conjunto permitido de permisos. El evento de creación de nuevo usuario se capturaría en el Registro de Eventos.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:a:google:exposure_notifications_verification_server:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/google/exposure-notifications-verification-server/commit/eb8cf40b12dbe79304f1133c06fb73419383cd95 (Origen: CONFIRM)
- https://github.com/google/exposure-notifications-verification-server/releases/tag/v0.23.1 (Origen: CONFIRM)
- https://github.com/google/exposure-notifications-verification-server/releases/tag/v0.24.0 (Origen: CONFIRM)
- https://github.com/google/exposure-notifications-verification-server/security/advisories/GHSA-5v95-v8c8-3rh6 (Origen: CONFIRM)