CVE-2024-39344

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-39344
An issue was discovered in the Docusign API package 8.142.14 for Salesforce. The Apttus_DocuApi__DocusignAuthentication__mdt object is installed via the marketplace from this package and stores some configuration information in a manner that could be compromised. With the default settings when installed for all users, the object can be accessible and (via its fields) could disclose some keys. These disclosed components can be combined to create a valid session via the Docusign API. This will generally lead to a complete compromise of the Docusign account because the session is for an administrator service account and may have permission to re-authenticate as specific users with the same authorization flow.

8.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://deneyed.com/blog/conga/
https://login.salesforce.com/packaging/installPackage.apexp?p0=04t6S000000YUDxQAO
Configurations

No configuration.

History

26 Aug 2024, 16:35

Type Values Removed Values Added
Summary
  • (es) Se descubrió un problema en el paquete API de Docusign 8.142.14 para Salesforce. El objeto Apttus_DocuApi__DocusignAuthentication__mdt se instala a través del mercado desde este paquete y almacena cierta información de configuración de una manera que podría verse comprometida. Con la configuración predeterminada cuando se instala para todos los usuarios, se puede acceder al objeto y (a través de sus campos) podría revelar algunas claves. Estos componentes revelados se pueden combinar para crear una sesión válida a través de la API de Docusign. Por lo general, esto comprometerá completamente la cuenta de Docusign porque la sesión es para una cuenta de servicio de administrador y puede tener permiso para volver a autenticarse como usuarios específicos con el mismo flujo de autorización.
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.1
CWE CWE-200

21 Aug 2024, 17:25

Type Values Removed Values Added
New CVE
Information

Published : 2024-08-21 16:15

Updated : 2024-08-26 16:35

NVD link : CVE-2024-39344

Mitre link : CVE-2024-39344

CVE.ORG link : CVE-2024-39344

JSON object : View

Products Affected

No product.

CWE
CWE-200

Exposure of Sensitive Information to an Unauthorized Actor