Dos nuevos avisos de seguridad
Múltiples vulnerabilidades en Alma Blog de Devklan
Fecha19/03/2024
Importancia3 - Media
Recursos Afectados
Alma Blog, versión 2.1.10 y anteriores.
Descripción
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Alma Blog de Devklan, plataforma de blogs destinada principalmente a la creación de sitios web, blogs o comunidades de noticias o temáticos, versiones 2.1.10 y anteriores, las cuales han sido descubiertas por David Utón Amaya.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-1144: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-284.
- CVE-2024-1145: 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
- CVE-2024-1146: 5.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N | CWE-79.
Solución
Actualizar Alma Blog a la versión 2.2.
Detalle
- CVE-2024-1144: vulnerabilidad de control de acceso inadecuado en Alma Blog de Devklan que afecta a las versiones 2.1.10 y anteriores. Esta vulnerabilidad podría permitir que un usuario no autenticado accediese a las funcionalidades de la aplicación sin necesidad de credenciales.
- CVE-2024-1145: vulnerabilidad de enumeración de usuarios en Alma Blog de Devklan que afecta a las versiones 2.1.10 y anteriores. Esta vulnerabilidad podría permitir a un usuario remoto recuperar todos los usuarios válidos registrados en la aplicación con solo mirar la respuesta de la petición.
- CVE-2024-1146: vulnerabilidad de Cross-Site Scripting en Alma Blog de Devklan que afecta a las versiones 2.1.10 y anteriores. Esta vulnerabilidad podría permitir a un atacante almacenar una carga útil de JavaScript maliciosa dentro de la aplicación, agregando la carga útil a 'Community Description' o 'Community Rules'.
Múltiples vulnerabilidades en Meta4 HR de Cegid
Fecha19/03/2024
Importancia5 - Crítica
Recursos Afectados
Meta4 HR, versiones 819.001.022 y anteriores.
Descripción
INCIBE ha coordinado la publicación de 5 vulnerabilidades, una de severidad crítica, dos altas y dos medias que afectan a Meta4 HR del fabricante Cegid, las cuales han sido descubiertas por:
- Pedro Jose Navas Pérez, de Hispasec, y Jesús Antón (CVE-2024-2632).
- Pedro Jose Navas Pérez, de Hispasec, (CVE-2024-2633 y CVE-2024-2634).
- Jesús Antón (CVE-2024-2635 y CVE-2024-2636).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-2632: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-200
- CVE-2024-2633: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
- CVE-2024-2634: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
- CVE-2024-2633: 7.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L | CWE-698
- CVE-2024-2632: 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-434
Solución
- CVE-2024-2632 y CVE-2024-2633: el administrador del sistema de Meta4 HR debe eliminar las siguientes páginas de los servidores web que salen a Internet: de M4WebServices, la carpeta 'sitetest' (que contiene la página dumpenv.jsp), y de M4Gateway, la página dump.jsp. En futuras versiones de Meta4 HR de Cegid, estas páginas serán eliminadas de la distribución, ya que no ofrecen funcionalidad real.
- CVE-2024-2634: cualquier producto con todas las correcciones aplicadas después de 2013 no es vulnerable a este Cross-Site Scripting (XSS).
- CVE-2024-2635: las páginas de configuración disponibles no están pensadas para incluirse en un servidor web orientado a Internet, ya que exponen rutas de archivos que podrían ser utilizadas por un atacante. En lugar de reescribir estas páginas para evitar esta vulnerabilidad, se descartarán de futuras versiones de Meta4 HR, ya que no ofrecen funcionalidad del producto.
- CVE-2024-2636: el administrador del sistema Meta4 HR debe eliminar de M4WebServices, la carpeta “config” (que contiene la página webappconfig.jsp) con salida a Internet. En futuras versiones de Meta4 HR de Cegid, estas páginas se eliminarán de la distribución por defecto.
Detalle
- CVE-2024-2632: exposición de información en Meta4 HR. Esta vulnerabilidad permite a un atacante obtener información sobre la aplicación, como las variables establecidas en el proceso, las versiones de Tomcat, las versiones de las bibliotecas y el sistema operativo subyacente a través de HTTP GET '/sitetest/english/dumpenv.jsp'.
- CVE-2024-2633: Cross-Site Scripting (XSS) en Meta4 HR que afecta a la versión 819.001.022 y anteriores. El endpoint '/sitetest/english/dumpenv.jsp' es vulnerable a un ataque XSS a través de la query 'lang', es decir, “/sitetest/english/dumpenv.jsp?snoop=yes&lang=%27%3Cimg%20src/onerror=alert(1)%3E¶ms”.
- CVE-2024-2634: Cross-Site Scripting (XSS) en Meta4 HR que afecta a la versión 819.001.022 y anteriores. El endpoint '/sse_generico/generico_login.js' es vulnerable a un ataque XSS a través de la consulta 'lang', es decir, '/sse_generico/generico_login.jsp?lang=%27%3balert(%27BLEUSS%27)%2f%2f¶ms='.
- CVE-2024-2635: vulnerabilidad en Meta4 HR de Cegid que consiste en la ejecución después de la redirección. Esta vulnerabilidad podría permitir a un atacante saltarse las medidas de seguridad de las aplicaciones accediendo directamente al archivo 'webappconfig.jsp' y cancelando la petición de redirección, que llevaría al archivo de configuración dentro de la aplicación, en el que un atacante podría modificar diferentes parámetros.
- CVE-2024-2636: subida de archivos sin restricciones en Meta4 HR de Cegid, que podría permitir a un atacante subir archivos maliciosos al servidor a través de '/config/espanol/update_password.jsp'. Modificando el parámetro 'M4_NEW_PASSWORD', un atacante podría almacenar un archivo JSP malicioso dentro del directorio de archivos para ser ejecutado al ser cargado el archivo en la aplicación.