Múltiples vulnerabilidades en idoit pro de Synetics
Fecha de publicación 12/09/2024
Importancia
4 - Alta
Recursos Afectados
- Idoit pro, versión 28.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades: 1 de severidad alta y 1 de severidad media, que afectan a la versión 28 de idoit pro de Synetics, una herramienta para la gestión de la infraestructura informática, y que han sido descubiertas por Adriá Bonilla Martin y Héctor de armas.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector CVSS y tipo de vulnerabilidad CWE para cada vulnerabilidad:
- CVE-2024-8749: 8.8 | CVSS:3.1 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
- CVE-2024-8750: 5.4 | CVSS:3.1 AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CWE-79.
Solución
La vulnerabilidad ha sido solucionada en la versión 32 de idoit pro.
Detalle
- CVE-2024-8749: vulnerabilidad de inyección SQL en idoit pro versión 28. Esta vulnerabilidad podría permitir a un atacante enviar una consulta especialmente diseñada al parámetro ID en /var/www/html/src/classes/modules/api/model/cmdb/isys_api_model_cmdb_objects_by_relation.class.php y recuperar toda la información almacenada en el base de datos.
- CVE-2024-8750: vulnerabilidad de Cross-site Scripting (XSS) en idoit pro versión 28 Pro. Esta vulnerabilidad permite a un atacante recuperar detalles de la sesión de un usuario autenticado debido a la falta de saneamiento adecuado de los siguientes parámetros (id,lang,mNavID,name,pID,treeNode,type,view).
Listado de referencias
Etiquetas
