CVE-2022-36110

Netmaker vulnerable to Insufficient Granularity of Access Control

CVSS 8.8 HIGHEPSS 0.7%CWE-1220 CWE-285

En resumen

Netmaker permitía que usuarios sin privilegios de administrador ejecutaran acciones de administrador a través de la API usando sus tokens de autenticación. Esto significa que alguien sin permiso de admin podría obtener control total sobre la configuración de red y otras operaciones sensibles.

Detalle técnico

Netmaker anterior a la versión 0.15.1 sufre de autorización inadecuada en los endpoints de la API, permitiendo que usuarios autenticados sin privilegios ejecuten funciones de nivel administrador. La vulnerabilidad resulta de falta de granularidad en el control de acceso (CWE-1220, CWE-285), donde las verificaciones de autorización de la API fallan en validar correctamente los privilegios del usuario antes de ejecutar operaciones sensibles, resultando en escalada de privilegios.

Resumen generado y traducido por IA a partir de la descripción oficial.

Netmaker makes networks with WireGuard. Prior to version 0.15.1, Improper Authorization functions lead to non-privileged users running privileged API calls. If someone adds users to the Netmaker platform who do not have admin privileges, they can use their auth tokens to run admin-level functions via the API. This problem has been patched in v0.15.1.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

gravitl · netmaker

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/gravitl/netmaker/releases/tag/v0.15.1 https://github.com/gravitl/netmaker/security/advisories/GHSA-ggf6-638m-vqmg