Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de exposición de información en Request Tracker (RT)

Fecha de publicación 04/04/2024
Identificador
INCIBE-2024-0165
Importancia
3 - Media
Recursos Afectados
  • Request Tracker, versión 4.4.1.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a RT versión 4.4.1, herramienta desarrollada por Best Practical Solutions para la gestión de ciberincidentes, la cual ha sido descubierta por Javier Garcia Antón.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-3262: 5.5 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-200
Solución

Vulnerabilidad solucionada aplicando los siguientes parches:

En versiones futuras de RT, se incluirá esta solución como una opción configurable de la herramienta.

Detalle

CVE-2024-3262: vulnerabilidad de exposición de información en el software RT que afecta a la versión 4.4.1. Esta vulnerabilidad permite a un atacante con acceso local al dispositivo recuperar información confidencial sobre la aplicación, como tickets de vulnerabilidad, debido a que la aplicación almacena la información en la memoria caché del navegador, lo que conduce a una exposición de la información a pesar de la finalización de la sesión.

Listado de referencias