Múltiples vulnerabilidades en HelpDezk Community
Fecha de publicación 20/07/2023
Identificador
INCIBE-2023-0291
Importancia
5 - Crítica
Recursos Afectados
HelpDezk Community, versión 1.1.10.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades en HelpDezk Community, un software para la gestión de solicitudes e incidencias, que han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado los siguientes códigos:
- CVE-2023-3037:
- Puntuación base CVSS v3.1: 8,6.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
- Tipo de vulnerabilidad: CWE-285: autorización indebida.
- CVE-2023-3039:
- Puntuación base CVSS v3.1: 9,8.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
- Tipo de vulnerabilidad: CWE-89: inyección SQL.
Solución
No hay solución identificada por el momento.
Detalle
- CVE-2023-3037: vulnerabilidad de autorización indebida en HelpDezk Community que afecta a la versión 1.1.10. Esta vulnerabilidad podría permitir que un atacante remoto acceda a la plataforma sin autenticación y recupere datos personales a través del parámetro jsonGrid.
- CVE-2023-3039: vulnerabilidad de inyección SQL en HelpDezk Community que afecta a la versión 1.1.10. Esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente diseñada al parámetro rows de la ruta jsonGrid y extraer toda la información almacenada en la aplicación.
Listado de referencias
Etiquetas