Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29452

Vulnerabilidad en un nuevo HAL-Form en a12n-server (CVE-2021-29452)

Tipo: 
Gestión de privilegios incorrecta
Gravedad: 
Media
Fecha publicación : 
16/04/2021
Última modificación: 
22/04/2021
Descripción
a12n-server es un paquete npm que presenta como objetivo proporcionar un sistema de autenticación simple. Se agregó un nuevo HAL-Form para permitir la edición de usuarios en versión 0.18.0. Esta función solo debería haber sido accesible para administradores. Lamentablemente, unos privilegios fueron comprobados incorrectamente, permitiendo a cualquier usuario que haya iniciado sesión realizar este cambio. Parcheado en la versión v0.18.2
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:curveballjs:a12n-server:*:*:*:*:*:node.js:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos