CVE-2024-10082
CVE-2024-10082
En resumen
La cuenta raíz integrada de CodeChecker puede ser comprometida por atacantes que crean cuentas en servicios de autenticación externa. Si el atacante conoce el nombre de usuario raíz, puede controlar completamente la aplicación.
Detalle técnico
Una vulnerabilidad de confusión de método de autenticación (CWE-305, CWE-330) permite escalada de privilegios a la cuenta raíz integrada. La debilidad proviene de generación inadecuada de credenciales (CWE-842) e imposibilidad de deshabilitar el usuario raíz; un atacante con acceso a servicio externo y conocimiento del nombre de usuario raíz puede autenticarse como raíz y obtener acceso irrestricto a todas las funciones de la interfaz web.
Resumen generado y traducido por IA a partir de la descripción oficial.
CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy.
Authentication method confusion allows logging in as the built-in root user from an external service. The built-in root user up until 6.24.1 is generated in a weak manner, cannot be disabled, and has universal access.This vulnerability allows an attacker who can create an account on an enabled external authentication service, to log in as the root user, and access and control everything that can be controlled via the web interface. The attacker needs to acquire the username of the root user to be successful.
This issue affects CodeChecker: through 6.24.1.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Productos afectados
Ericsson · CodeChecker¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →