Múltiples vulnerabilidades en ARCONTE Áurea de Fujitsu

Fecha de publicación 01/09/2023
Importancia
4 - Alta
Recursos Afectados

Arconte Aurea, versiones inferiores a la 1.5.0.0

Descripción

INCIBE ha coordinado la publicación de 5 vulnerabilidades que afectan a Arconte Áurea, de Fujitsu, un software para la grabación de vistas judiciales, descubiertas por Pablo Arias Rodriguez y Jorge Alberto Palma Reyes del CSIRT-CV.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
  • CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
  • CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.
Solución

Estas vulnerabilidades han sido solucionadas por Fujitsu en la versión 1.5.0.0, publicada el 4/4/2022. Todas las nuevas versiones del producto, incluida la última 1.6.2.3, también incluyen las correcciones.

Detalle
  • CVE-2023-4092: vulnerabilidad de inyección SQL, cuya explotación podría permitir a un atacante leer datos sensibles de la base de datos, modificar datos (insertar/actualizar/eliminar), realizar operaciones de administración de bases de datos y, en algunos casos, ejecutar comandos en el sistema operativo.
  • CVE-2023-4093: vulnerabilidad XSS, tanto reflejado como persistente, cuya explotación podría permitir a un atacante inyectar código JavaScript malicioso, comprometer el navegador de la víctima y tomar el control del mismo, redirigir al usuario a dominios maliciosos o acceder a la información que está viendo el usuario legítimo.
  • CVE-2023-4094: el sistema de autenticación de ARCONTE Aurea podría permitir a un atacante realizar solicitudes de acceso incorrectas con el objetivo de bloquear cada una de las cuentas legítimas y provocar una denegación de servicio. Además, se ha identificado un recurso que podría permitir sortear el límite de intentos fijado en el formulario de acceso.
  • CVE-2023-4095: vulnerabilidad de enumeración de usuarios, la cual podría permitir a un atacante obtener una lista de usuarios registrados en la aplicación, obteniendo la información necesaria para realizar ataques más complejos a la plataforma.
  • CVE-2023-4096: el software afectado tiene un mecanismo de recuperación de contraseña débil, que podría permitir a un atacante realizar un ataque de fuerza bruta al número PIN, enviado por correo electrónico, con el objetivo de cambiar la contraseña de un usuario legítimo.
Listado de referencias
Ficha de producto - Arconte Áurea
Etiquetas