INCIBE: Tu ayuda en Ciberseguridad
Los expertos en ciberseguridad descubrieron nueve fallas de seguridad en tres proyectos de código abierto: Akaunting, EspoCRM y Pimcore, según The Hacker News . Todos ellos suelen ser utilizados por una amplia gama de pequeñas y medianas empresas.
Todos los problemas de seguridad en juego que afectan a EspoCRm v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 y Akaunting v2.1.12 se resolvieron en un día de lanzamiento responsable, según el investigador de ciberseguridad Trevor Christiansen de Rapid7 y Wiktor Sędkowski de Nokia. En el proyecto Akaunting, se encontraron seis de los nueve defectos.
Es posible que un atacante autenticado pueda usar estas fallas para ejecutar código JavaScript arbitrariamente, controlar el sistema operativo subyacente y usarlo como un punto de lanzamiento para más ataques maliciosos, cambiar la compañía vinculada con una cuenta de usuario sin su conocimiento e incluso desencadenar un denegación de servicio (DoS) enviando una solicitud HTTP especial.
Se ha identificado que las siguientes soluciones de software de código abierto contienen las vulnerabilidades que se enumeran a continuación:
Pimcore : una plataforma de software empresarial para administrar datos de clientes, activos digitales, contenido y comercio digital.
CVE-2021-31867: inyección SQL en Pimcore Customer Data Framework v3.0.0, con una puntuación CVSS de 6.5
CVE-2021-31869 - Pimcore AdminBundle v6.8.0, con una puntuación CVSS de 6.5
EspoCRM : una solución de gestión de relaciones con el cliente (CRM)
CVE-2021-3539 - Defecto XSS persistente en EspoCRM v6.1.6, con una puntuación CVSS de 6.3
Akaunting : un programa de contabilidad en línea y de código abierto para el seguimiento de facturas y gastos.
CVE-2021-36805 - XSS persistente de pie de página de factura en Akaunting v2.1.12, con una puntuación CVSS de 5.2
CVE-2021-36804 - Restablecimiento de contraseña débil en Akaunting v2.1.12, con una puntuación CVSS de 5.4
CVE-2021-36803: XSS persistente durante la carga de avatar en Akaunting v2.1.12, con una puntuación CVSS de 6.3
CVE-2021-36802 - Denegación de servicio a través de la variable 'locale' controlada por el usuario en Akaunting v2.1.12, con una puntuación CVSS de 6.5
CVE-2021-36800: inyección de comandos del sistema operativo en Akaunting v2.1.12, con una puntuación CVSS de 8,7
CVE-2021-36801: omisión de autenticación en Akaunting v2.1.12, con una puntuación CVSS de 8.5
Akaunting también ha sido parcheado por una vulnerabilidad de restablecimiento de contraseña débil donde un atacante podría explotar la función "Olvidé mi contraseña" para enviar un correo electrónico de phishing con un enlace malicioso que, cuando se abre, devolvería un token de restablecimiento de contraseña, entre otras cosas. Después de eso, el jugador malintencionado podría usar el token para cambiar su contraseña.
Miles de pequeñas y medianas empresas utilizan las tres soluciones de software y algunas de ellas se benefician del soporte proporcionado por los proveedores de software. Los investigadores concluyeron que todos estos problemas causados por los agujeros de seguridad se pueden solucionar actualizando el software correspondiente. Otra medida para defenderse de las amenazas actuales y futuras es permitir que estas soluciones de software funcionen en la red local y bloqueen su acceso a Internet.
Fecha actualización el 2021-07-30. Fecha publicación el 2021-07-30. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: softpedia