CVE-2022-36110

Netmaker vulnerable to Insufficient Granularity of Access Control

CVSS 8.8 HIGHEPSS 0.7%CWE-1220 CWE-285

Em resumo

O Netmaker permitia que usuários sem privilégios de administrador executassem ações de administrador através da API usando seus tokens de autenticação. Isso significa que alguém sem permissão de admin poderia ganhar controle total sobre a configuração de rede e outras operações sensíveis.

Detalhe técnico

O Netmaker anterior à versão 0.15.1 apresenta autorização inadequada nos endpoints da API, permitindo que usuários autenticados sem privilégios executem funções de nível administrador. A vulnerabilidade resulta de falta de granularidade no controle de acesso (CWE-1220, CWE-285), onde as verificações de autorização da API falham em validar corretamente os privilégios do usuário antes de executar operações sensíveis, resultando em escalação de privilégio.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Netmaker makes networks with WireGuard. Prior to version 0.15.1, Improper Authorization functions lead to non-privileged users running privileged API calls. If someone adds users to the Netmaker platform who do not have admin privileges, they can use their auth tokens to run admin-level functions via the API. This problem has been patched in v0.15.1.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

gravitl · netmaker

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/gravitl/netmaker/releases/tag/v0.15.1 https://github.com/gravitl/netmaker/security/advisories/GHSA-ggf6-638m-vqmg