Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en QSige de IDM Sistemas

Fecha de publicación 14/09/2023
Identificador

INCIBE-2023-0392

Importancia
4 - Alta
Recursos Afectados

QSige, versión 3.0.0.0.

Descripción

INCIBE ha coordinado la publicación de 7 vulnerabilidades que afectan a QSige de IDM Sistemas, un sistema inteligente de gestión de esperas, descubiertas por Pablo Arias Rodríguez, Jorge Alberto Palma Reyes y Rubén Barberá Pérez, investigadores del Red Team del CSIRT-CV. Mención especial a todo el equipo del CSIRT-CV.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4097: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-434.
  • CVE-2023-4098: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4099: CVSS v3.1: 7,6 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L | CWE-639.
  • CVE-2023-4100: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4101: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-639.
  • CVE-2023-4102: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4103: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Solución

Las vulnerabilidades reportadas están solucionadas en la última versión del producto afectado.

Detalle
  • CVE-2023-4097: la funcionalidad de carga de archivos no está implementada correctamente y permite cargar cualquier tipo de archivo. Como requisito previo, es necesario que el atacante inicie sesión en la aplicación con un nombre de usuario válido.
  • CVE-2023-4098: vulnerabilidad SQLi remota. Se ha identificado que la aplicación web no filtra correctamente los parámetros de entrada, permitiendo inyecciones SQL, DoS o divulgación de información. Como requisito previo, es necesario iniciar sesión en la aplicación.
  • CVE-2023-4099: la aplicación Monitor de QSige no cuenta con un mecanismo de control de acceso para verificar si el usuario que solicita un recurso tiene permisos suficientes para hacerlo. Como requisito previo, es necesario iniciar sesión en la aplicación.
  • CVE-2023-4100: permite a un atacante realizar ataques XSS almacenados en ciertos recursos. La explotación de esta vulnerabilidad puede conducir a una condición DoS, entre otras acciones.
  • CVE-2023-4101: el SSO de inicio de sesión de QSige no cuenta con un mecanismo de control de acceso para verificar si el usuario que solicita un recurso tiene permisos suficientes para hacerlo. Como requisito previo, es necesario iniciar sesión en la aplicación.
  • CVE-2023-4102: las utilidades de QSige se ven afectadas por una vulnerabilidad SQLi remota. Se ha identificado que la aplicación web no filtra correctamente los parámetros de entrada, permitiendo inyecciones SQL, DoS o divulgación de información. Como requisito previo, es necesario iniciar sesión en la aplicación.
  • CVE-2023-4103: las estadísticas de QSige se ven afectadas por una vulnerabilidad SQLi remota. Se ha identificado que la aplicación web no filtra correctamente los parámetros de entrada, permitiendo inyecciones SQL, DoS o divulgación de información. Como requisito previo, es necesario iniciar sesión en la aplicación.
Listado de referencias