Omisión de autorización mediante clave controlada en Qsige
Sinergia, Sinergia 2.0, y Sinergia Corporativo.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a QSige de IDSistemas, un sistema inteligente de gestión de esperas y colas, la cual ha sido descubierta por Oscar Atienza.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-0580: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-639.
Actualizar el módulo 'localizador' del producto afectado.
El 23 de junio de 2023 se aplicó un parche a este módulo. Se puede consultar el enlace (https://web/qsige.localizador/about) para obtener más detalles. Si se está utilizando una versión anterior, se puede comunicar con IDM para actualizar el sistema.
CVE-2024-0580: omisión de autorización mediante clave controlada por el usuario en la plataforma IDMSistemas, afectando al producto QSige. Esta vulnerabilidad permite a un atacante extraer información confidencial de la API, realizando una solicitud al parámetro '/qsige.locator/quotePrevious/centers/X', donde X admite los valores 1,2,3, etc. Ejemplo: https://web/qsige.localizador/citaPrevia/centros/1.
