Folio mod-data-export-spring versions bis 1.5.3/2.0.1 API schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.0$0-$5k0.00

Zusammenfassunginfo

In Folio mod-data-export-spring versions bis 1.5.3/2.0.1 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente API. Durch Beeinflussen mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2024-23687 gehandelt. Ein Angriff ist aus der Distanz möglich. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Eine kritische Schwachstelle wurde in Folio mod-data-export-spring versions bis 1.5.3/2.0.1 gefunden. Davon betroffen ist unbekannter Code der Komponente API. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-798. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt. Die Zusammenfassung von CVE lautet:

Hard-coded credentials in FOLIO mod-data-export-spring versions before 1.5.4 and from 2.0.0 to 2.0.2 allows unauthenticated users to access critical APIs, modify user data, modify configurations including single-sign-on, and manipulate fees/fines.

Die Schwachstelle wurde am 20.01.2024 als GHSA-vf78-3q9f-92g3 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 19.01.2024 mit der eindeutigen Identifikation CVE-2024-23687 gehandelt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1110.001 aus.

Ein Aktualisieren auf die Version 1.5.4 oder 2.0.2 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 93aff4566bff59e30f4121b5a2bda5b0b508a446 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2024-0316) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.2
VulDB Meta Temp Score: 8.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.1
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: mod-data-export-spring versions 1.5.4/2.0.2
Patch: 93aff4566bff59e30f4121b5a2bda5b0b508a446

Timelineinfo

19.01.2024 🔍
20.01.2024 +1 Tage 🔍
20.01.2024 +0 Tage 🔍
29.11.2025 +679 Tage 🔍

Quelleninfo

Advisory: GHSA-vf78-3q9f-92g3
Status: Bestätigt

CVE: CVE-2024-23687 (🔍)
GCVE (CVE): GCVE-0-2024-23687
GCVE (VulDB): GCVE-100-251645
EUVD: 🔍

Eintraginfo

Erstellt: 20.01.2024 08:05
Aktualisierung: 29.11.2025 08:50
Anpassungen: 20.01.2024 08:05 (44), 15.02.2024 19:33 (11), 23.05.2025 08:52 (16), 29.11.2025 08:50 (1)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!