Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de bypass de autorización en UPV PEIX

Fecha de publicación 31/05/2023
Identificador

INCIBE-2023-0200

Importancia
3 - Media
Recursos Afectados

UPV PEIX

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en UPV PEIX, un sistema de gestión de prácticas de empresa de la Escuela Técnica Superior de Ingeniería Informática de la Universitat Politècnica de València (UPV), que ha sido descubierta por Pablo Alcarria Lozano y Germán Planells García.

A esta vulnerabilidad se le ha asignado el código:

  • CVE-2023-2544:
    • Puntuación base CVSS v3.1: 5,3.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-639: acceso no autorizado a datos de otro usuario. 
Solución

Esta vulnerabilidad ha sido solucionada en agosto de 2022.

Detalle
  • CVE-2023-2544: vulnerabilidad de bypass de autorización en UPV PEIX, que afecta al componente "pdf_curri_new.php". A través de una petición POST, un usuario autenticado podría cambiar el parámetro ID para recuperar toda la información almacenada de otros usuarios registrados.
Etiquetas