Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Clibo Manager

Fecha de publicación 26/09/2024
Identificador
INCIBE-2024-0477
Importancia
4 - Alta
Recursos Afectados

Clibo Manager, versiones 1.1.9.1 y 1.1.9.2.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, de severidades alta y media, que afectan a Clibo Manager en sus versiones 1.1.9.1 y 1.1.9.2, respectivamente. La primera vulnerabilidad podría permitir ejecutar un Cross-Site Scripting almacenado (stored XSS) mediante la subida de una imagen maliciosa con extensión SVG en la versión 1.1.9.1. Por otro lado, existe otra vulnerabilidad, una ausencia del límite de envíos de correos electrónicos en el apartado ‘olvidado mi contraseña’ que afecta a la versión 1.1.9.2. Ambas vulnerabilidades han sido descubiertas por David Padilla Alvarado.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuaciones base CVSS v3.1, vectores del CVSS y los tipos de vulnerabilidades CWE:

  • CVE-2024-9198: CVSS v3.1: 7.6 | CVSS AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N | CWE-79
  • CVE-2024-9199: CVSS v3.1: 5.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N | CWE-799
     
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Clibo Manager en la versión 1.1.9.12.

Detalle
  • CVE-2024-9198: vulnerabilidad en Clibo Manager v1.1.9.1 que podría permitir a un atacante ejecutar Cross-Site Scripting almacenado (stored XSS) mediante la subida de una imagen maliciosa .svg en el apartado: Perfil > Foto de perfil.
  • CVE-2024-9199: vulnerabilidad en Clibo Manager v1.1.9.2 de tipo rate limit que podría permitir a un atacante enviar un número elevado de correos electrónicos a la víctima en poco tiempo afectando a la disponibilidad y derivando en una denegación de servicio (DoS).
Listado de referencias