Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el module/accounting/voucher/create en Web-School ERP (CVE-2021-30114)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
08/04/2021
Última modificación:
13/04/2021

Descripción

Web-School ERP versión V 5.0, contiene una vulnerabilidad de tipo cross-site request forgery (CSRF) que permite a un atacante remoto crear una petición de pago de vale por medio de module/accounting/voucher/create. La aplicación no puede comprobar el token CSRF para una petición POST usando privilegios de administrador

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:web-school:enterprise_resource_planning:5.0:*:*:*:*:*:*:*