Vulnérabilité dans le gestionnaire de base de données InfluxDB
Date de publication :
CVE-2019-20933[Score CVSS v3 : 9.5] : Une vulnérabilité concernant la fonction d’authentification dans services/httpd/handler.go a été corrigée. Cette faille est due au fait que, dans certains cas, le jeton d'authentification Javascript ne possède pas de secret pré-partagé. Un attaquant distant et authentifié peut alors potentiellement s'authentifier de façon illégitime.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Intrusion illégitime
Criticité
- Score CVSS v3 : 9.5
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation disponible à l’heure actuelle.
Composants vulnérables
- Les versions de InfluxDB antérieures à la version 1.7.6 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour InfluxDB vers la version 1.7.6 ou vers une version ultérieure.
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.