Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad IDOR en AbsysNet

Fecha de publicación 18/11/2024
Identificador
INCIBE-2024-0567
Importancia
4 - Alta
Recursos Afectados

AbsysNet, versión 2.3.1.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad alta que afecta a AbsysNet, un sistema integrado de gestión de bibliotecas, la cual ha sido descubierta por Jordi Forès S2Grupo.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-11318: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-639.
Solución

La vulnerabilidad ha sido solucionada por el equipo de AbsysNet, actualizando los archivos binarios del mOpac en las versiones 2.3.1 y 2.4.

Detalle

CVE-2024-11318: una vulnerabilidad IDOR (Insecure Direct Object Reference) ha sido descubierta en AbsysNet, afectando a la versión 2.3.1. Esta vulnerabilidad podría permitir a un atacante remoto obtener la sesión de un usuario, no autenticado, mediante un ataque fuerza bruta al identificador de la sesión en el endpoint “/cgi-bin/ocap/”.

Listado de referencias
Página web de AbsysNet
Etiquetas