Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en SimpleHelp de Horizon3.ai

Fecha de publicación 16/01/2025
Identificador
INCIBE-2025-0023
Importancia
5 - Crítica
Recursos Afectados
  • SimpleHelp: versiones anteriores a 5.5.8, 5.4.10 y 5.3.9.
Descripción

Horizon3.ai ha publicado 3 vulnerabilidades de las cuales al menos una podría ser de severidad crítica. De ser explotadas podrían conducir a una divulgación de información, escalada de privilegios y ejecución remota de código.

Solución

Actualizar lo antes posible a la última versión de SimpleHelp: 5.5.8 o 5.4.10 o 5.3.9.

Detalle
  • CVE-2024-57727: vulnerabilidad de recorrido de ruta, no autenticado, que podría permitir a un atacante descargar archivos arbitrarios del servidor SimpleHelp, incluido el archivo serverconfig.xml que contiene contraseñas en hash para la cuenta SimpleHelpAdmin y otras cuentas de técnicos locales.
  • CVE-2024-57728: vulnerabilidad de carga de archivos arbitrarios que podría permitir a un atacante con privilegios SimpleHelpAdmin (o como técnico con privilegios de administrador) cargar archivos arbitrarios en cualquier lugar del host SimpleServer, lo que potencialmente conduciría a la ejecución remota de código.
  • CVE-2024-57726: vulnerabilidad de escalada de privilegios que permite a un atacante que obtiene acceso como técnico con pocos privilegios, elevarlos a un administrador aprovechando la falta de comprobaciones de autorización del backend.