Vulnerabilidad de exposición de información en Request Tracker (RT)
- Request Tracker, versión 4.4.1.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a RT versión 4.4.1, herramienta desarrollada por Best Practical Solutions para la gestión de ciberincidentes, la cual ha sido descubierta por Javier Garcia Antón.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-3262: 5.5 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-200
Vulnerabilidad solucionada aplicando los siguientes parches:
- https://github.com/bestpractical/rt/commit/ea07e767eaef5b202e8883051616d09806b8b48a.patch
- https://github.com/bestpractical/rt/commit/468f86bd3e82c3b5b5ef7087d416a7509d4b1abe.patch
En versiones futuras de RT, se incluirá esta solución como una opción configurable de la herramienta.
CVE-2024-3262: vulnerabilidad de exposición de información en el software RT que afecta a la versión 4.4.1. Esta vulnerabilidad permite a un atacante con acceso local al dispositivo recuperar información confidencial sobre la aplicación, como tickets de vulnerabilidad, debido a que la aplicación almacena la información en la memoria caché del navegador, lo que conduce a una exposición de la información a pesar de la finalización de la sesión.