Se ha reportado una vulnerabilidad de severidad crítica en Dragonfly, un sistema de distribución de archivos y aceleración de imágenes basado en P2P. Esta vulnerabilidad permite eludir la autenticación y realizar acciones como usuario con privilegios de administrador.
Productos afectados
- Dragonfly versiones anteriores a 2.0.9.
Impacto
La vulnerabilidad se identifica como CVE-2023-27584: con una puntuación en CVSSv3 de 9.8, de severidad crítica. Dragonfly utiliza JWT para verificar al usuario. Sin embargo, la clave secreta para JWT, «Clave secreta», está codificada de forma rígida, lo que permite eludir la autenticación. Un atacante puede realizar cualquier acción como usuario con privilegios de administrador.
Recomendación
Actualizar a la versión más reciente, que resuelve la vulnerabilidad encontrada,disponible en la página web oficial del fabricante.
Referencias:
https://nvd.nist.gov/vuln/detail/cve-2023-27584
https://github.com/dragonflyoss/Dragonfly2/releases/tag/v2.0.9
https://github.com/dragonflyoss/Dragonfly2/security/advisories/GHSA-hpc8-7wpm-889w