Vulnerabilidad de bypass de autorización en UPV PEIX
Fecha de publicación 31/05/2023
Identificador
INCIBE-2023-0200
Importancia
3 - Media
Recursos Afectados
UPV PEIX
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad en UPV PEIX, un sistema de gestión de prácticas de empresa de la Escuela Técnica Superior de Ingeniería Informática de la Universitat Politècnica de València (UPV), que ha sido descubierta por Pablo Alcarria Lozano y Germán Planells García.
A esta vulnerabilidad se le ha asignado el código:
- CVE-2023-2544:
- Puntuación base CVSS v3.1: 5,3.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N.
- Tipo de vulnerabilidad: CWE-639: acceso no autorizado a datos de otro usuario.
Solución
Esta vulnerabilidad ha sido solucionada en agosto de 2022.
Detalle
- CVE-2023-2544: vulnerabilidad de bypass de autorización en UPV PEIX, que afecta al componente "pdf_curri_new.php". A través de una petición POST, un usuario autenticado podría cambiar el parámetro ID para recuperar toda la información almacenada de otros usuarios registrados.
Listado de referencias
Etiquetas