Plataforma
php
Componente
arunna
Corregido en
1.0.1
La vulnerabilidad CVE-2021-47754 afecta a la aplicación Arunna en la versión 1.0.0. Se trata de una vulnerabilidad de Cross-Site Request Forgery (CSRF) que permite a atacantes manipular la configuración del perfil de usuario. Esta manipulación puede incluir el cambio de contraseñas, direcciones de correo electrónico e incluso la elevación de privilegios administrativos, engañando a usuarios autenticados para que envíen formularios maliciosos. Se recomienda aplicar las medidas de mitigación o actualizar a una versión corregida de Arunna.
Un atacante puede explotar esta vulnerabilidad CSRF para realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. Esto podría incluir la modificación de la información del perfil del usuario, como su nombre, dirección de correo electrónico y contraseña. En el peor de los casos, un atacante con privilegios administrativos podría utilizar esta vulnerabilidad para tomar el control total de la aplicación Arunna, comprometiendo la confidencialidad, integridad y disponibilidad de los datos almacenados. La falta de validación adecuada de las solicitudes HTTP permite a los atacantes inyectar código malicioso que se ejecuta cuando el usuario visita una página comprometida.
La vulnerabilidad CVE-2021-47754 fue publicada el 15 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas. La probabilidad de explotación se considera baja, pero la naturaleza de las vulnerabilidades CSRF implica que podrían ser explotadas si no se toman medidas de mitigación adecuadas.
Organizations and individuals using Arunna version 1.0.0 are at direct risk. Specifically, environments where Arunna is deployed with default configurations or where user accounts have elevated privileges are particularly vulnerable. Shared hosting environments utilizing Arunna should be carefully monitored and secured.
• php / web:
curl -I <arunna_url>/profile.php | grep -i 'csrf-token'• generic web:
curl -I <arunna_url>/profile.php | grep -i 'set-cookie'• generic web:
grep -r 'profile.php' /var/log/apache2/access.log | grep -i 'csrf-token'disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación principal se centra en implementar medidas de seguridad adicionales. Se recomienda implementar controles CSRF robustos, como la generación de tokens CSRF únicos para cada solicitud. Además, se debe implementar una política de seguridad de contenido (CSP) para restringir las fuentes de contenido que puede cargar la aplicación. Otra medida de mitigación es educar a los usuarios sobre los riesgos de los ataques CSRF y cómo evitar ser víctimas. Verifique la efectividad de las medidas implementadas mediante pruebas de penetración y auditorías de seguridad periódicas.
Actualice a una versión corregida de Arunna que solucione la vulnerabilidad CSRF. Revise y fortalezca las medidas de seguridad para prevenir ataques CSRF, como la implementación de tokens CSRF en todos los formularios y solicitudes sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-47754 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la aplicación Arunna versión 1.0.0, que permite a atacantes modificar la configuración del perfil de usuario sin autenticación.
Si está utilizando Arunna versión 1.0.0 y no ha implementado medidas de mitigación, es probable que esté afectado por esta vulnerabilidad.
Dado que no hay una versión corregida disponible, implemente controles CSRF robustos, una política de seguridad de contenido (CSP) y eduque a los usuarios sobre los riesgos de los ataques CSRF.
Actualmente no se han reportado casos de explotación activa de CVE-2021-47754, pero la naturaleza de las vulnerabilidades CSRF implica que podrían ser explotadas si no se toman medidas de mitigación.
Consulte el sitio web oficial de Arunna o los canales de comunicación de la comunidad para obtener información sobre esta vulnerabilidad y posibles actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.