Múltiples vulnerabilidades en productos Elcomplus

• Un atacante podría inyectar código JavaScript en un parámetro específico que puede ejecutarse al acceder al panel de gestión (dashboard) o a la página principal. Se ha asignado el identificador CVE-2021-43932 para esta vulnerabilidad.
• El sistema de copias de seguridad y restauración no valida adecuadamente las solicitudes de carga, lo que podría permitir a un atacante cargar archivos arbitrarios. Se ha asignado el identificador CVE-2021-43934 para esta vulnerabilidad.
• Un atacante autenticado puede inyectar JavaScript arbitrario en parámetros críticos. Se ha asignado el identificador CVE-2021-43932 para esta vulnerabilidad.
• El servidor tiene una función que permite subir actualizaciones de aplicaciones que no requiere validación, lo que podría permitir a un atacante subir archivos arbitrarios. Se ha asignado el identificador CVE-2021-43934 para esta vulnerabilidad.
• El software utiliza una entrada externa para construir un nombre de ruta que debería estar dentro de un directorio restringido, pero no neutraliza correctamente las secuencias de barras de puntos que pueden resolver una ubicación que está fuera de ese directorio. Se ha asignado el identificador CVE-2021-43930 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-43939, CVE-2021-43938 y CVE-2021-43937.

Para la vulnerabilidad de severidad media restante, se ha asignado el identificador CVE-2021-43930.