Vulnerabilidad en Centurion ERP (CVE-2024-53855)

Centurion ERP (Enterprise Rescource Planning) es una aplicación sencilla desarrollada para proporcionar gestión de TI de código abierto con un gran énfasis en los módulos de Gestión de servicios de TI (ITSM). Un usuario que está autenticado y tiene permisos de visualización para un ticket, puede ver los tickets de otra organización de la que no forma parte. Los usuarios con los siguientes permisos son aplicables: 1. El permiso `view_ticket_change` puede ver los tickets de cambio de las organizaciones de las que no forma parte. 2. El permiso `view_ticket_incident` puede ver los tickets de incidentes de las organizaciones de las que no forma parte. 3. El permiso `view_ticket_request` puede ver los tickets de solicitud de las organizaciones de las que no forma parte. 4. El permiso `view_ticket_problem` puede ver los tickets de problemas de las organizaciones de las que no forma parte. El acceso para ver los tickets de diferentes organizaciones solo es aplicable cuando se navega por los puntos finales de la API para los tickets en cuestión. La interfaz de usuario de Centurion no se ve afectada. Las tareas del proyecto, aunque sean un "tipo de ticket", tampoco se ven afectadas. Este problema se ha solucionado en la versión 1.3.1 y se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión pueden eliminar los permisos de visualización de tickets, lo que aliviaría esta vulnerabilidad. Si esto no se considera viable, se recomienda actualizar la versión.