Vulnerabilidad de bypass de autorización en UPV PEIX

Fecha de publicación 31/05/2023

Importancia

3 - Media

Recursos Afectados

UPV PEIX

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en UPV PEIX, un sistema de gestión de prácticas de empresa de la Escuela Técnica Superior de Ingeniería Informática de la Universitat Politècnica de València (UPV), que ha sido descubierta por Pablo Alcarria Lozano y Germán Planells García.

A esta vulnerabilidad se le ha asignado el código:

CVE-2023-2544:
- Puntuación base CVSS v3.1: 5,3.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N.
- Tipo de vulnerabilidad: CWE-639: acceso no autorizado a datos de otro usuario.

Solución

Esta vulnerabilidad ha sido solucionada en agosto de 2022.

Detalle

CVE-2023-2544: vulnerabilidad de bypass de autorización en UPV PEIX, que afecta al componente "pdf_curri_new.php". A través de una petición POST, un usuario autenticado podría cambiar el parámetro ID para recuperar toda la información almacenada de otros usuarios registrados.

Listado de referencias

Sistema de gestión en la Web de Prácticas en Empresa

Etiquetas