Múltiples vulnerabilidades en HubBank

Fecha de publicación 29/04/2024
Importancia
5 - Crítica
Recursos Afectados
  • HubBank, versión 1.0.2.
Descripción

INCIBE ha coordinado la publicación de 5 vulnerabilidades, 1 de severidad crítica, tres de severidad alta y 1 de severidad media, que afectan a HubBank de Ofofonobs versión 1.0.2, un script de banca online con notificaciones por SMS y correo electrónico, las cuales han sido descubiertas por David Utón Amaya.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4306: 9.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H | CWE-434
  • CVE-2024-4307 a CVE-2024-4309: 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CWE-89
  • CVE-2024-4310: 6.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L | CWE-79
Solución

No hay solución reportada por el momento. 

Detalle
  • CVE-2024-4306: vulnerabilidad crítica de carga de archivos sin restricciones en HubBank que afecta a la versión 1.0.2. Esta vulnerabilidad permite a un usuario registrado cargar archivos PHP maliciosos a través de campos de documento de carga, lo que resulta en una ejecución de webshell.
  • Vulnerabilidad de inyección SQL en HubBank que afecta a la versión 1.0.2. Esta vulnerabilidad podría permitir a un atacante enviar una consulta SQL especialmente diseñada a la base de datos a través de diferentes endpoints y recuperar la información almacenada en la Base de Datos. Se han asignado los siguientes identificadores:
    • CVE-2024-4307: endpoints /accounts/activities.php?id=1, /accounts/view-deposit.php?id=1, /accounts/view_cards. php?id=1, /accounts/wire-transfer.php?id=1 y /accounts/wiretransfer-pending.php?id=1, parámetro id.
    • CVE-2024-4308: endpoints /admin/view_users.php?id=1, /admin/viewloan-trans.php?id=1, /admin/view -deposit.php?id=1, /admin/view-domtrans.php?id=1, /admin/delete_cards.php?id=1, /admin/view_cards.php?id=1 y /admin/view_users.php?id=1, parámetro id.
    • CVE-2024-4309: endpoints /user/transaction.php?id=1,/user/credit-debit_transaction.php?id=1, /user/view_transaction. php?id=1 y /user/viewloantrans.php?id=1, parámetro id.
  • CVE-2024-4310: vulnerabilidad Cross-site Scripting (XSS) en HubBank que afecta la versión 1.0.2. Esta vulnerabilidad permite a un atacante enviar una carga útil de JavaScript especialmente diseñada a los formularios de registro y perfil y activar la carga útil cuando algún usuario autenticado carga la página, lo que resulta en una toma de control de la sesión.
Listado de referencias
HubBank - Online Net Banking PHP Script
Etiquetas