Plateforme
other
Composant
allegra
Corrigé dans
7.5.1
La vulnérabilité CVE-2023-51648 est une faille de parcours de répertoires affectant le logiciel Allegra. Cette vulnérabilité permet à des attaquants distants de divulguer des informations sensibles en manipulant le chemin d'accès utilisé par la fonction getFileContentAsString. Les versions concernées sont 7.5.0 build 29 et les versions antérieures. Une correction est disponible dans la version 7.5.1.
Un attaquant peut exploiter cette vulnérabilité en fournissant un chemin d'accès malveillant à la fonction getFileContentAsString, contournant ainsi les mécanismes de sécurité prévus. Cela permet de lire des fichiers situés en dehors du répertoire prévu, potentiellement contenant des informations confidentielles telles que des fichiers de configuration, des données sensibles des utilisateurs ou du code source. L'exploitation nécessite une authentification, mais le mécanisme d'enregistrement d'Allegra permet de créer un utilisateur avec des privilèges suffisants pour mener à bien l'attaque. Le risque est significatif car la divulgation d'informations peut compromettre la confidentialité et l'intégrité du système.
La vulnérabilité CVE-2023-51648 a été rendue publique le 22 novembre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucune mention sur le KEV de CISA n'est disponible. Des preuves de concept publiques (PoC) ne sont pas encore largement disponibles, mais la nature de la vulnérabilité la rend potentiellement exploitable.
Organizations deploying Allegra, particularly those with custom integrations or extensions that rely on file access, are at risk. Shared hosting environments where multiple users share the same Allegra instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this flaw.
disclosure
Statut de l'Exploit
EPSS
0.94% (percentile 76%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Allegra vers la version 7.5.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs et en désactivant temporairement la fonction getFileContentAsString si elle n'est pas essentielle. Une analyse approfondie des fichiers de configuration et des journaux d'accès peut aider à identifier les tentatives d'exploitation. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des entrées utilisateur est recommandée.
Actualice Allegra a la versión 7.5.1 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el método getFileContentAsString. La actualización impedirá que atacantes remotos divulguen información confidencial.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-51648 is a vulnerability in Allegra that allows attackers to access files they shouldn't be able to, potentially exposing sensitive data. It's rated HIGH severity with a CVSS score of 7.5.
You are affected if you are using Allegra versions 7.5.0 build 29 or earlier. Check your version and upgrade immediately if vulnerable.
Upgrade Allegra to version 7.5.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting file access permissions and using a WAF.
There is currently no evidence of active exploitation, but it's crucial to patch the vulnerability to prevent potential future attacks.
Refer to the Allegra security advisory for detailed information and patching instructions. Check the Allegra website or vendor communication channels for the latest updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.