CVE-2021-36383

Опубликовано: 12 июл. 2021

Источник: nvd

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

Xen Orchestra (with xo-web through 5.80.0 and xo-server through 5.84.0) mishandles authorization, as demonstrated by modified WebSocket resourceSet.getAll data is which the attacker changes the permission field from none to admin. The attacker gains access to data sets such as VMs, Backups, Audit, Users, and Groups.

Ссылки

https://github.com/vatesfr/xen-orchestra/issues/5712
Exploit
Issue Tracking
Third Party Advisory
https://github.com/vatesfr/xen-orchestra/issues/5712
Exploit
Issue Tracking
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:xen-orchestra:xo-server:*:*:*:*:*:*:*:*

Версия до 5.84.0 (включая)

cpe:2.3:a:xen-orchestra:xo-web:*:*:*:*:*:*:*:*

Версия до 5.80.0 (включая)

EPSS

Процентиль: 36%

0.0015

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-grvm-gcqf-gh8q