Múltiples vulnerabilidades en Astrotalks
Fecha de publicación 30/05/2024
Importancia
4 - Alta
Recursos Afectados
Astrotalks, versión 03/10/2023.
Descripción
INCIBE ha coordinado la publicación de 3 vulnerabilidades, de severidad alta, que afectan a Astrotalks, versión 03/10/2023, plataforma web dedicada a la astrología, las cuales han sido descubiertas por David Utón Amaya.
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-5523: 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89
- CVE-2024-5524: 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-200
- CVE-2024-5525: 8.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L | CWE-269
Solución
Las vulnerabilidades han sido solucionadas en las nuevas versiones.
Detalle
- CVE-2024-5523: vulnerabilidad de inyección SQL en Astrotalks que afecta a la versión 10/03/2023. Esta vulnerabilidad podría permitir que un usuario local autenticado envíe una consulta SQL especialmente diseñada al parámetro 'searchString' y recupere toda la información almacenada en la base de datos.
- CVE-2024-5524: vulnerabilidad de exposición de información en Astrotalks que afecta a la versión 10/03/2023. Esta vulnerabilidad permite a usuarios no registrados acceder a todos los enlaces internos de la aplicación sin necesidad de proporcionar ninguna credencial.
- CVE-2024-5525: vulnerabilidad de gestión de privilegios inadecuada en Astrotalks que afecta a la versión 10/03/2023. Esta vulnerabilidad permite que un usuario local acceda a la aplicación como administrador sin ninguna credencial proporcionada, lo que permite al atacante realizar acciones administrativas.
Listado de referencias
