Plateforme
php
Composant
arunna
Corrigé dans
1.0.1
La vulnérabilité CVE-2021-47754 affecte Arunna versions 1.0.0 à 1.0.0. Il s'agit d'une faille de Cross-Site Request Forgery (CSRF) qui permet à un attaquant de manipuler les paramètres du profil utilisateur sans nécessiter d'authentification préalable. Cette vulnérabilité peut entraîner des modifications non autorisées des informations personnelles et des privilèges d'accès, compromettant potentiellement la sécurité du système. Une mise à jour vers une version corrigée est recommandée.
Un attaquant exploitant cette vulnérabilité CSRF peut créer un formulaire malveillant pour modifier les détails du profil utilisateur, y compris le mot de passe, l'adresse e-mail et les privilèges administratifs. L'attaquant peut tromper un utilisateur authentifié pour qu'il soumette ce formulaire, permettant ainsi la modification non autorisée des informations. Le risque est particulièrement élevé si des comptes administratifs sont compromis, car cela pourrait donner à l'attaquant un contrôle total sur le système Arunna. L'exploitation réussie peut mener à une perte de confidentialité, d'intégrité et de disponibilité des données.
La vulnérabilité CVE-2021-47754 a été publiée le 2026-01-15. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'y a pas d'entrée dans le KEV (Know Exploited Vulnerabilities) de CISA à ce jour. L'absence de PoC publics et d'exploitations confirmées indique un risque relativement faible, mais la vulnérabilité reste présente et doit être corrigée.
Organizations and individuals using Arunna version 1.0.0 are at direct risk. Specifically, environments where Arunna is deployed with default configurations or where user accounts have elevated privileges are particularly vulnerable. Shared hosting environments utilizing Arunna should be carefully monitored and secured.
• php / web:
curl -I <arunna_url>/profile.php | grep -i 'csrf-token'• generic web:
curl -I <arunna_url>/profile.php | grep -i 'set-cookie'• generic web:
grep -r 'profile.php' /var/log/apache2/access.log | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Arunna vers une version corrigée dès que possible. En attendant la mise à jour, des mesures temporaires peuvent être prises. Implémentez des protections CSRF robustes, telles que l'utilisation de tokens CSRF uniques pour chaque formulaire et requête. Validez et nettoyez rigoureusement toutes les entrées utilisateur. Si possible, désactivez temporairement les fonctionnalités de profil utilisateur sensibles jusqu'à la mise à jour. Sur les serveurs web, configurez des règles WAF (Web Application Firewall) pour bloquer les requêtes CSRF suspectes.
Mettez à jour vers une version corrigée d'Arunna qui résout la vulnérabilité CSRF. Examinez et renforcez les mesures de sécurité pour prévenir les attaques CSRF, comme l'implémentation de tokens CSRF dans tous les formulaires et requêtes sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-47754 est une vulnérabilité CSRF (Cross-Site Request Forgery) affectant la version 1.0.0 d'Arunna, permettant à un attaquant de modifier les paramètres du profil utilisateur sans authentification.
Oui, si vous utilisez Arunna version 1.0.0, vous êtes affecté par cette vulnérabilité CSRF et devez prendre des mesures correctives.
La solution recommandée est de mettre à jour Arunna vers une version corrigée. En attendant, implémentez des protections CSRF robustes.
À ce jour, il n'y a aucune preuve d'exploitation active de CVE-2021-47754, mais la vulnérabilité reste présente et doit être corrigée.
Consultez le site web d'Arunna ou les canaux de communication officiels pour obtenir l'avis de sécurité concernant CVE-2021-47754.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.