Gratis scannen
HIGHCVE-2024-3137CVSS 7.1

Onjuikbaar Beheer van Rechten in uvdesk/community-skeleton

Platform

php

Component

uvdesk/community-skeleton

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2024-3137 beschrijft een Improper Privilege Management kwetsbaarheid in de uvdesk/community-skeleton component. Deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang en potentieel misbruik van het systeem. Het treft alle versies van uvdesk/community-skeleton tot de meest recente. Er is een fix beschikbaar in de nieuwste versie.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze Improper Privilege Management kwetsbaarheid kan een aanvaller in staat stellen om bevoegdheden te verkrijgen die ze niet zouden mogen hebben binnen het uvdesk-systeem. Dit kan resulteren in ongeautoriseerde toegang tot gevoelige klantgegevens, configuratiebestanden en andere kritieke informatie. De aanvaller kan mogelijk ook wijzigingen aanbrengen in het systeem, waardoor de integriteit en beschikbaarheid in gevaar komen. De impact is vergelijkbaar met scenario's waarin een gebruiker met beperkte rechten toegang krijgt tot administratieve functies.

Uitbuitingscontext

Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2024-3137. De kwetsbaarheid is openbaar gemaakt op 2 april 2024. Er is geen vermelding op de CISA KEV catalogus. De kans op exploitatie wordt beschouwd als medium, aangezien de kwetsbaarheid relatief eenvoudig te exploiteren kan zijn als de juiste maatregelen niet worden genomen.

Wie Loopt Risicowordt vertaald…

Organizations utilizing the uvdesk/community-skeleton component in their customer support or helpdesk systems are at risk. This includes deployments with custom configurations or integrations that may exacerbate the impact of privilege escalation. Shared hosting environments where multiple users share the same server instance are particularly vulnerable.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.14% (34% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N7.1HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentuvdesk/community-skeleton
Leverancieruvdesk
Getroffen bereikOpgelost in
1.0.0

Pakketinformatie

Laatste update
1.1.88 maanden geleden

Zwakheidsclassificatie (CWE)

CWE-269

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt
Geen patch — 782 dagen na openbaarmaking

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2024-3137 is het upgraden naar de nieuwste versie van uvdesk/community-skeleton. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegangsrechten van gebruikers te beperken en strikte autorisatiecontroles te implementeren. Monitor de logs op verdachte activiteiten die duiden op ongeautoriseerde toegangspogingen. Er zijn geen specifieke WAF-regels of configuratiewerkarounds bekend, behalve het toepassen van het principe van minimale privileges.

Hoe te verhelpenwordt vertaald…

Actualice uvdesk/community-skeleton a la última versión disponible. Esto debería solucionar el problema de gestión de privilegios. Consulte el registro de cambios de la versión actualizada para obtener más detalles sobre la corrección.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-3137 — Improper Privilege Management in uvdesk/community-skeleton?

CVE-2024-3137 is a security vulnerability in the uvdesk/community-skeleton component that allows attackers to potentially escalate privileges and gain unauthorized access to the system. It has a CVSS score of 7.1 (HIGH).

Am I affected by CVE-2024-3137 in uvdesk/community-skeleton?

If you are using uvdesk/community-skeleton versions up to the latest, you are potentially affected by this vulnerability. Check your current version and plan for an upgrade once a patch is available.

How do I fix CVE-2024-3137 in uvdesk/community-skeleton?

The vendor is expected to release a patch soon. Until then, implement strict access controls and regularly audit user permissions as mitigation steps. Upgrade to the patched version as soon as it becomes available.

Is CVE-2024-3137 being actively exploited?

Currently, there is no evidence of active exploitation campaigns targeting CVE-2024-3137, but it's crucial to apply mitigations and upgrade promptly once a patch is released.

Where can I find the official uvdesk advisory for CVE-2024-3137?

Please refer to the official uvdesk security advisories and release notes for updates and information regarding CVE-2024-3137: https://uvdesk.com/ (check their security section).

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken