Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades XSS en productos de BigProf

Fecha de publicación 30/11/2023
Identificador
INCIBE-2023-0537
Importancia
3 - Media
Recursos Afectados
  • Online Clinic Management System, versión 2.2.
  • Online Invoicing System, versión 2.6.
  • Online Inventory Manager, versión 3.2.
Descripción

INCIBE ha coordinado la publicación de 14 vulnerabilidades que afectan a varios productos de BigProf, un sistema de gestión de contenidos web de código abierto, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE, común para todas ellas:

  • CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79

Se han reservado los identificadores CVE desde CVE-2023-6422 hasta CVE-2023-6432, ambos incluidos.

Solución

No hay solución reportada por el momento.

Detalle

Se ha descubierto una vulnerabilidad en distintos productos de BigProf, que no codifica suficientemente las entradas controladas por el usuario, lo que resulta en un XSS persistente, a través de distintos ficheros y parámetros. La explotación de esta vulnerabilidad podría permitir que un usuario atacante almacene cargas útiles de JavaScript peligrosas en el sistema que se activarán cuando se cargue la página.

La relación de productos, archivos y parámetros afectados por estas vulnerabilidades XSS es la siguiente:

  • Online Clinic Management System 2.2:
    • CVE-2023-6422: a través de /clinic/patients_view.php, en el parámetro FirstRecord.
    • CVE-2023-6423: a través de /clinic/events_view.php, en el parámetro FirstRecord.
    • CVE-2023-6424: a través de /clinic/disease_symptoms_view.php, en el parámetro FirstRecord.
    • CVE-2023-6425: a través de /clinic/medical_records_view.php, en el parámetro FirstRecord.
  • Online Invoicing System 2.6:
    • CVE-2023-6426: a través de /invoicing/app/invoices_view.php, en el parámetro FirstRecord.
    • CVE-2023-6427: a través de /invoicing/app/invoices_view.php, en el parámetro FirstRecord.
    • CVE-2023-6428: a través de /invoicing/app/items_view.php, en el parámetro FirstRecord.
    • CVE-2023-6429: a través de /invoicing/app/clients_view.php, en el parámetro FirstRecord.
  • Online Inventory Manager 3.2:
    • CVE-2023-6430: a través de /inventory/transactions_view.php, en el parámetro FirstRecord.
    • CVE-2023-6431: a través de /inventory/categories_view.php, en el parámetro FirstRecord.
    • CVE-2023-6432: a través de /inventory/items_view.php, en el parámetro FirstRecord.
    • CVE-2023-6433: a través de /inventory/suppliers_view.php, en el parámetro FirstRecord.
    • CVE-2023-6434: a través de /inventory/sections_view.php, en el parámetro FirstRecord.
    • CVE-2023-6435: a través del /inventory/batches_view.php, en el parámetro FirstRecord.
Etiquetas