Múltiples vulnerabilidades en Cups Easy

Fecha de publicación 23/01/2024
Importancia
4 - Alta
Recursos Afectados

Cups Easy (Purchase & Inventory), versión 1.0.

Descripción

INCIBE ha coordinado la publicación de 42 vulnerabilidades de severidad alta que afectan a Cups Easy, un software de compras e inventario basado en PHP, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes códigos, con misma puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-23855 al CVE-2024-23896: 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N | CWE-79.
Solución

No hay solución reportada por el momento.

Detalle

Se ha reportado una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual no se codifica suficientemente las entradas controladas por el usuario, lo que provoca una vulnerabilidad de Cross-Site Scripting (XSS) a través de distintas rutas y parámetros. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente diseñada a un usuario autenticado y robar sus credenciales de cookie de sesión.

La relación de CVE asignados con las URL y parámetros afectados es la siguiente:

  • CVE-2024-23855: /cupseasylive/taxcodemodify.php, múltiples parámetros.
  • CVE-2024-23856: /cupseasylive/itemlist.php, parámetro description.
  • CVE-2024-23857: /cupseasylive/grnlinecreate.php, parámetro batchno.
  • CVE-2024-23858: /cupseasylive/stockissuancelinecreate.php, parámetro batchno.
  • CVE-2024-23859: /cupseasylive/taxstructurelinecreate.php, parámetro flatamount.
  • CVE-2024-23860: /cupseasylive/currencylist.php, parámetro description.
  • CVE-2024-23861: /cupseasylive/unitofmeasurementcreate.php, parámetro unitofmeasurementid.
  • CVE-2024-23862: /cupseasylive/grndisplay.php, parámetro grnno
  • CVE-2024-23863: /cupseasylive/taxstructuredisplay.php, parámetro description.
  • CVE-2024-23864: /cupseasylive/countrylist.php, parámetro description.
  • CVE-2024-23865: /cupseasylive/taxstructurelist.php, parámetro description.
  • CVE-2024-23866: /cupseasylive/countrycreate.php, parámetro countryid.
  • CVE-2024-23867: /cupseasylive/statecreate.php, parámetro stateid.
  • CVE-2024-23868: /cupseasylive/grnlist.php, parámetro delete.
  • CVE-2024-23869: /cupseasylive/stockissuanceprint.php, parámetro issuanceno.
  • CVE-2024-23870: cupseasylive/stockissuancelist.php, parámetro delete.
  • CVE-2024-23871: /cupseasylive/unitofmeasurementmodify.php, parámetro description.
  • CVE-2024-23872: /cupseasylive/locationmodify.php, parámetro description.
  • CVE-2024-23873: /cupseasylive/currencymodify.php, parámetro currencyid.
  • CVE-2024-23874: /cupseasylive/companymodify.php, parámetro address1.
  • CVE-2024-23875: /cupseasylive/stockissuancedisplay.php, parámetro issuanceno.
  • CVE-2024-23876: /cupseasylive/taxstructurecreate.php, parámetro description.
  • CVE-2024-23877: /cupseasylive/currencycreate.php, parámetro currencyid
  • CVE-2024-23878: /cupseasylive/grnprint.php, parámetro grnno.
  • CVE-2024-23879: /cupseasylive/statemodify.php, parámetro description.
  • CVE-2024-23880: /cupseasylive/taxcodelist.php, parámetro description.
  • CVE-2024-23881: /cupseasylive/statelist.php, parámetro description.
  • CVE-2024-23882: /cupseasylive/taxcodecreate.php, parámetro taxcodeid.
  • CVE-2024-23883: /cupseasylive/taxstructuremodify.php, parámetro description.
  • CVE-2024-23884: /cupseasylive/grnmodify.php, parámetro grndate.
  • CVE-2024-23885: /cupseasylive/countrymodify.php, parámetro countryid.
  • CVE-2024-23886: /cupseasylive/itemmodify.php, parámetro bincardinfo.
  • CVE-2024-23887: /cupseasylive/grncreate.php, parámetro grndate.
  • CVE-2024-23888: /cupseasylive/stocktransactionslist.php, parámetro itemidy.
  • CVE-2024-23889: /cupseasylive/itemgroupcreate.php, parámetro itemgroupid.
  • CVE-2024-23890: /cupseasylive/itempopup.php, parámetro description.
  • CVE-2024-23891: /cupseasylive/itemcreate.php, parámetro itemid.
  • CVE-2024-23892: /cupseasylive/costcentercreate.php, parámetro costcenterid.
  • CVE-2024-23893: /cupseasylive/costcentermodify.php, parámetro costcenterid.
  • CVE-2024-23894: /cupseasylive/stockissuancecreate.php, parámetro issuancedate.
  • CVE-2024-23895: /cupseasylive/locationcreate.php, parámetro locationid.
  • CVE-2024-23896: /cupseasylive/stock.php, parámetro batchno.
Listado de referencias
Web del producto
Etiquetas