CVE-2024-31218

Webhood is a self-hosted URL scanner used analyzing phishing and malicious sites. Webhood's backend container images in versions 0.9.0 and earlier are subject to Missing Authentication for Critical Function vulnerability. This vulnerability allows an unauthenticated attacker to send a HTTP request to the database (Pocketbase) admin API to create an admin account. The Pocketbase admin API does not check for authentication/authorization when creating an admin account when no admin accounts have been added. In its default deployment, Webhood does not create a database admin account. Therefore, unless users have manually created an admin account in the database, an admin account will not exist in the deployment and the deployment is vulnerable. Versions starting from 0.9.1 are patched. The patch creates a randomly generated admin account if admin accounts have not already been created i.e. the vulnerability is exploitable in the deployment. As a workaround, users can disable access to URL path starting with `/api/admins` entirely. With this workaround, the vulnerability is not exploitable via network.

CVSS v3 9.8 CRITICAL

9.8^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/webhood-io/webhood/commit/735e7fa2814edeec9a2c07778ed51b3c018609f9
https://github.com/webhood-io/webhood/security/advisories/GHSA-h533-rxhm-73j2
https://github.com/webhood-io/webhood/commit/735e7fa2814edeec9a2c07778ed51b3c018609f9
https://github.com/webhood-io/webhood/security/advisories/GHSA-h533-rxhm-73j2

Configurations

No configuration.

History

21 Nov 2024, 09:13

Type	Values Removed	Values Added
References	~~() https://github.com/webhood-io/webhood/commit/735e7fa2814edeec9a2c07778ed51b3c018609f9 -~~	() https://github.com/webhood-io/webhood/commit/735e7fa2814edeec9a2c07778ed51b3c018609f9 -
References	~~() https://github.com/webhood-io/webhood/security/advisories/GHSA-h533-rxhm-73j2 -~~	() https://github.com/webhood-io/webhood/security/advisories/GHSA-h533-rxhm-73j2 -

08 Apr 2024, 18:49

Type	Values Removed	Values Added
Summary		(es) Webhood es un escáner de URL autohospedado que se utiliza para analizar sitios maliciosos y de phishing. Las imágenes del contenedor backend de Webhood en las versiones 0.9.0 y anteriores están sujetas a una vulnerabilidad de autenticación faltante para funciones críticas. Esta vulnerabilidad permite que un atacante no autenticado envíe una solicitud HTTP a la API de administración de la base de datos (Pocketbase) para crear una cuenta de administrador. La API de administración de Pocketbase no verifica la autenticación/autorización al crear una cuenta de administrador cuando no se han agregado cuentas de administrador. En su implementación predeterminada, Webhood no crea una cuenta de administrador de base de datos. Por lo tanto, a menos que los usuarios hayan creado manualmente una cuenta de administrador en la base de datos, no existirá una cuenta de administrador en la implementación y la implementación es vulnerable. Las versiones a partir de 0.9.1 están parcheadas. El parche crea una cuenta de administrador generada aleatoriamente si aún no se han creado cuentas de administrador, es decir, la vulnerabilidad se puede explotar en la implementación. Como workaround, los usuarios pueden deshabilitar completamente el acceso a la ruta URL que comienza con `/api/admins`. Con esta workaround, la vulnerabilidad no se puede explotar a través de la red.

05 Apr 2024, 15:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-04-05 15:15

Updated : 2024-11-21 09:13

NVD link : CVE-2024-31218

Mitre link : CVE-2024-31218

CVE.ORG link : CVE-2024-31218

JSON object : View

Products Affected

No product.

CWE

CWE-306

Missing Authentication for Critical Function

9.8 /10