Múltiples vulnerabilidades en ICSSolution ICS Business Manager
Fecha de publicación 13/11/2023
Identificador
INCIBE-2023-0493
Importancia
5 - Crítica
Recursos Afectados
ICS Business Manager, versiones:
- 7.06.0028.2802;
- 7.06.0028.7066;
- 7.06.0028.7089.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a ICSSolution ICS Business Manager, las cuales han sido descubiertas por David Cámara Galindo y Andrés Elizalde Galdeano de Telefónica Tech.
A ambas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2023-6097: CVSS v3.1: 9.4 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-89.
- CVE-2023-6098: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79.
Solución
No hay solución reportada por el momento.
Detalle
- CVE-2023-6097: se ha encontrado una vulnerabilidad de inyección SQL en ICS Business Manager, que afecta a la versión 7.06.0028.7089. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta SQL, especialmente diseñada, y recuperar toda la información almacenada en la base de datos. Los datos también pueden ser modificados o eliminados, causando un mal funcionamiento en la aplicación.
- CVE-2023-6098: se ha descubierto una vulnerabilidad XSS en ICS Business Manager que afecta a la versión 7.06.0028.7066. Un atacante remoto podría enviar una cadena especialmente diseñada explotando el parámetro obdd_act, permitiendo al atacante robar la sesión de un usuario autenticado, y realizar acciones dentro de la aplicación.
Listado de referencias
Etiquetas