botón arriba

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en HelpDezk Community

Fecha20/07/2023
Importancia5 - Crítica
Recursos Afectados

HelpDezk Community, versión 1.1.10.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades en HelpDezk Community, un software para la gestión de solicitudes e incidencias, que han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos:

  • CVE-2023-3037:
    • Puntuación base CVSS v3.1: 8,6.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-285: autorización indebida.
  • CVE-2023-3039:
    • Puntuación base CVSS v3.1: 9,8.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
    • Tipo de vulnerabilidad: CWE-89: inyección SQL.
Solución

No hay solución identificada por el momento.

Detalle
  • CVE-2023-3037: vulnerabilidad de autorización indebida en HelpDezk Community que afecta a la versión 1.1.10. Esta vulnerabilidad podría permitir que un atacante remoto acceda a la plataforma sin autenticación y recupere datos personales a través del parámetro jsonGrid.
  • CVE-2023-3039: vulnerabilidad de inyección SQL en HelpDezk Community que afecta a la versión 1.1.10. Esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente diseñada al parámetro rows de la ruta jsonGrid y extraer toda la información almacenada en la aplicación.

Múltiples vulnerabilidades en productos Atlassian

Fecha20/07/2023
Importancia4 - Alta
Recursos Afectados
  • Confluence Data Center & Server: versiones 7.19.8. y 8.0.0.
  • Bamboo Data Center: versión 8.0.0.
Descripción

Atlassian ha publicado 3 vulnerabilidades de severidad alta que podrían permitir a un atacante ejecutar código arbitrario de forma remota o modificar las acciones realizadas por una llamada al sistema.

Solución

Actualizar a las versiones correctoras:

  • 7.19.8, 8.2.0, 8.3.2 y 8.4.0 de Confluence Data Center & Server.
  • 9.2.3 y 9.3.1 de Bamboo Data Center.
Detalle

Las vulnerabilidades detectadas son de tipo Inyección y RCE (Ejecución Remota de Código). Estas podrían permitir que un atacante autenticado modifique las acciones realizadas por una llamada al sistema y ejecute código arbitrario que tiene un alto impacto en la confidencialidad, alto impacto en la integridad, alto impacto en disponibilidad y sin interacción del usuario. Se han asignado los identificadores CVE-2023-22505, CVE-2023-22508 y CVE-2023-22506 para estas vulnerabilidades.