Plateforme
other
Composant
allegra
Corrigé dans
7.5.1
Une vulnérabilité de parcours de répertoires a été découverte dans Allegra, affectant les versions 7.5.0 build 29 et 7.5.0 build 29. Cette faille permet à des attaquants distants de divulguer des informations sensibles en exploitant un manque de validation des chemins d'accès fournis par l'utilisateur. Bien que l'authentification soit requise, le mécanisme d'enregistrement d'Allegra peut être utilisé pour créer un compte avec des privilèges suffisants pour exploiter cette vulnérabilité. La correction est disponible dans la version 7.5.1.
Cette vulnérabilité de parcours de répertoires permet à un attaquant authentifié d'accéder à des fichiers situés en dehors du répertoire prévu, potentiellement contenant des informations confidentielles telles que des données de configuration, des fichiers de log, ou même du code source. L'attaquant peut exploiter le système d'enregistrement pour créer un compte avec des privilèges élevés, facilitant ainsi l'accès aux fichiers sensibles. Le rayon d'impact est significatif, car l'attaquant peut potentiellement compromettre l'ensemble du système si les fichiers accessibles contiennent des informations d'identification ou des clés d'accès à d'autres services. Une exploitation réussie pourrait mener à une divulgation d'informations critiques et à une compromission de la confidentialité des données.
Cette vulnérabilité a été publiée le 22 novembre 2024. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une authentification et de l'absence de PoC public.
Organizations utilizing Allegra versions 7.5.0 build 29 and earlier, particularly those with publicly accessible instances or those who have not implemented robust access controls, are at risk. Shared hosting environments where multiple users share the same Allegra instance are also particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.94% (percentile 76%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau Allegra vers la version 7.5.1, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est recommandé de renforcer les contrôles d'accès aux fichiers et de limiter les privilèges des utilisateurs. Si la mise à niveau n'est pas immédiatement possible, examinez la configuration d'Allegra pour identifier et restreindre les répertoires accessibles aux utilisateurs. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des requêtes contenant des séquences de caractères suspectes (par exemple, '..') peut aider à détecter les tentatives d'exploitation. Après la mise à niveau, vérifiez l'intégrité des fichiers et examinez les journaux d'accès pour détecter toute activité suspecte.
Actualice Allegra a la versión 7.5.1 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios que permite la divulgación de información sensible. La actualización impedirá que atacantes remotos exploten esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-52334 is a Directory Traversal vulnerability affecting Allegra versions 7.5.0 build 29 and earlier, allowing attackers to potentially disclose sensitive files.
If you are using Allegra version 7.5.0 build 29 or earlier, you are potentially affected by this vulnerability. Upgrade to 7.5.1 to mitigate the risk.
The recommended fix is to upgrade Allegra to version 7.5.1 or later. Implement stricter file access controls as an interim measure.
As of the current date, there are no publicly known active exploitation campaigns targeting CVE-2023-52334.
Refer to the Allegra security advisory for detailed information and updates regarding CVE-2023-52334.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.