Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en IDURAR (CVE-2024-47769)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
04/10/2024
Última modificación:
13/11/2024

Descripción

IDURAR es un software de facturación y contabilidad ERP CRM de código abierto. La vulnerabilidad existe en el archivo corePublicRouter.js. Utilizando el uso de referencia aquí, se identifica que el endpoint público es accesible para un usuario no autenticado. La entrada del usuario se adjunta directamente a la declaración de unión sin comprobaciones adicionales. Esto permite que un atacante envíe un payload malicioso codificado en URL. La estructura del directorio se puede escapar para leer archivos del sistema agregando una cadena codificada (payload) en la ubicación de la subruta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:idurarapp:idurar:*:*:*:*:*:*:*:* 4.1.0 (incluyendo)