CVE-2024-45793 in confidantinformación

Resumen

por MITRE • 2024-09-20

Confidant es un servicio de gestión de secretos de código abierto que proporciona almacenamiento y acceso a secretos de forma sencilla. Los siguientes endpoints están sujetos a una vulnerabilidad de cross site scripting: GET /v1/credentials, GET /v1/credentials/, GET /v1/archive/credentials/, GET /v1/archive/credentials, POST /v1/credentials, PUT /v1/credentials/, PUT /v1/credentials//, GET /v1/services, GET /v1/services/, GET /v1/archive/services/, GET /v1/archive/services, PUT /v1/services/, PUT /v1/services//. El atacante debe estar autenticado y tener privilegios para crear nuevas credenciales, pero podría utilizar esto para mostrar información y ejecutar secuencias de comandos a otros usuarios en la misma instancia de Confidant. Este problema se ha corregido en la versión 6.6.2. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2024-09-09

Divulgación

2024-09-20

Moderación

aceptado

Artículo

VDB-278225

CPE

listo

EPSS

0.00347

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!