Dos nuevos avisos de seguridad
Índice
- Vulnerabilidad de ruta o elemento de búsqueda sin comillas en SugarSync
- Vulnerabilidad de inyección SQL en Gescen
Vulnerabilidad de ruta o elemento de búsqueda sin comillas en SugarSync
SugarSync, versiones inferiores a 4.1.3.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a SugarSync Inc., un servicio de almacenamiento y sincronización de documentos en la nube, en versiones inferiores a la 4.1.3, la cual ha sido descubierta por Jorge Manuel Lozano Gómez.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-4461: 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-428.
No hay solución reportada por el momento.
CVE-2024-4461: vulnerabilidad de ruta o elemento de búsqueda sin comillas, en versiones de SugarSync anteriores a la 4.1.3 para Windows. Esta configuración errónea podría permitir que un usuario local no autorizado inyecte código arbitrario en la ruta del servicio sin comillas, lo que provocaría una escalada de privilegios.
Vulnerabilidad de inyección SQL en Gescen
Gescen, versión 2023.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad critica que afecta a Gescen versión 2023, plataforma educativa creada por el equipo de desarrollo de software de Centros Digitales, la cual ha sido descubierta por Alberto Gasulla.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-4466: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
La vulnerabilidad ha sido solucionada en la última versión del producto.
CVE-2024-4466: vulnerabilidad de inyección SQL en Gescen de la plataforma centrosdigitales.net. Esta vulnerabilidad permite a un atacante enviar una consulta SQL especialmente diseñada al parámetro pass y recuperar todos los datos almacenados en la base de datos.