Ragic Enterprise Cloud Database - Falta de Autenticación

El impacto de esta vulnerabilidad es significativo, ya que un atacante puede, sin necesidad de credenciales válidas, obtener las cookies de sesión de cualquier usuario de Ragic Enterprise Cloud Database. Con estas cookies, el atacante puede hacerse pasar por el usuario afectado, accediendo a sus datos, realizando acciones en su nombre y potencialmente comprometiendo la integridad del sistema. La falta de autenticación abre una puerta directa a la suplantación de identidad y el acceso no autorizado a información sensible. Esta vulnerabilidad se asemeja a fallos de gestión de sesiones que han permitido ataques de secuestro de sesión en otras aplicaciones, con consecuencias graves para los usuarios y las organizaciones.

Organizations utilizing Ragic Enterprise Cloud Database, particularly those with sensitive data stored within the platform, are at significant risk. Users with administrative privileges are especially vulnerable, as their accounts would grant an attacker complete control over the system. Shared hosting environments using Ragic could also expose multiple users to this vulnerability.

1. 2024-08-08Patch

   patch

2. 2024-10-15Disclosure

   disclosure

1. Reservado2024-10-15
2. Publicada2024-10-15
3. EPSS actualizado2026-04-02

La mitigación principal para CVE-2024-9984 es actualizar Ragic Enterprise Cloud Database a la versión 2024/08/08 o posterior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a las funcionalidades afectadas a través de firewalls o listas de control de acceso (ACLs). Además, se debe revisar y fortalecer la política de contraseñas y la autenticación multifactor (MFA) para reducir el riesgo de acceso no autorizado en caso de que las cookies de sesión sean comprometidas. Verifique después de la actualización que la autenticación se aplica correctamente a todas las funcionalidades sensibles.