Vulnérabilité dans le gestionnaire de base de données InfluxDB

Date de publication : 29/09/2022

CVE-2019-20933[Score CVSS v3 : 9.5] : Une vulnérabilité concernant la fonction d’authentification dans services/httpd/handler.go a été corrigée. Cette faille est due au fait que, dans certains cas, le jeton d'authentification Javascript ne possède pas de secret pré-partagé. Un attaquant distant et authentifié peut alors potentiellement s'authentifier de façon illégitime.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Intrusion illégitime

Criticité

Score CVSS v3 : 9.5

Existence d’un code d’exploitation

Il n’existe pas de code d’exploitation disponible à l’heure actuelle.

Composants vulnérables

Les versions de InfluxDB antérieures à la version 1.7.6 sont impactées par cette vulnérabilité.

CVE

CVE-2019-20933

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour InfluxDB vers la version 1.7.6 ou vers une version ultérieure.

Solution de contournement

Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.

Liens

Bulletin de sécurité Debian DSA-4823