strawberry graphql hasta 0.242.x Multipart File Upload falsificación de solicitudes en sitios cruzados
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
Resumen
Se ha detectado una vulnerabilidad clasificada como problemática en strawberry graphql hasta 0.242.x. Resulta afectada una función desconocida dentro del componente Multipart File Upload Handler. La alteración resulta en falsificación de solicitudes en sitios cruzados. Esta vulnerabilidad está identificada como CVE-2024-47082. Es posible lanzar el ataque de forma remota. Ningún exploit está disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en strawberry graphql hasta 0.242.x y clasificada como problemática. Una función desconocida del componente Multipart File Upload Handler es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase falsificación de solicitudes en sitios cruzados. Esto tiene repercusión sobre la la integridad. CVE resume:
Strawberry GraphQL es una librería para crear API de GraphQL. Antes de la versión 0.243.0, la compatibilidad con la carga de archivos multiparte, tal como se define en la especificación de solicitud multiparte de GraphQL, estaba habilitada de forma predeterminada en todas las integraciones de vistas HTTP de Strawberry. Esto hacía que todas las integraciones de vistas HTTP de Strawberry fueran vulnerables a ataques de Cross-Site Request Forgery (CSRF) si los usuarios no habilitaban explícitamente el mecanismo de seguridad para evitar CSRF en sus servidores. Además, la integración de vistas HTTP de Django, en particular, tenía una exención para la protección CSRF incorporada de Django (es decir, el middleware `CsrfViewMiddleware`) de forma predeterminada. En efecto, todas las integraciones de Strawberry eran vulnerables a ataques CSRF de forma predeterminada. La versión `v0.243.0` es la primera `strawberry-graphql` que incluye un parche.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-47082. Es fácil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 0.243.0 elimina esta vulnerabilidad. Aplicando el parche 37265b230e511480a9ceace492f9f6a484be1387 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Proveedor
Nombre
Versión
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.6VulDB Puntuación meta temporal: 5.6
VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 8.0
NVD Vector: 🔍
CNA Puntuación base: 4.6
CNA Vector (GitHub_M): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Falsificación de solicitudes en sitios cruzadosCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: graphql 0.243.0
Parche: 37265b230e511480a9ceace492f9f6a484be1387
Línea de tiempo
2024-09-17 🔍2024-09-25 🔍
2024-09-25 🔍
2025-03-09 🔍
Fuentes
Aviso: GHSA-79gp-q4wv-33frEstado: Confirmado
CVE: CVE-2024-47082 (🔍)
GCVE (CVE): GCVE-0-2024-47082
GCVE (VulDB): GCVE-100-278506
Artículo
Fecha de creación: 2024-09-25 22:16Actualizado: 2025-03-09 12:39
Cambios: 2024-09-25 22:16 (67), 2024-10-02 00:32 (12), 2025-03-09 12:39 (3)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.