Múltiples vulnerabilidades en productos Janobe

Fecha de publicación 06/08/2024
Importancia
5 - Crítica
Recursos Afectados
  • PayPal/Credit Card/Debit Card Payment 1.0;
  • School Attendance Monitoring System 1.0 (producto descontinuado);
  • School Event Management System 1.0.
Descripción

INCIBE ha coordinado la publicación de 40 vulnerabilidades que afectan a Janobe, sistema de pago que integra varias formas de pago, como PayPal, Credit Card, Debit Card Payment 1.0, School Attendance Monitoring System 1.0 y School Event Management System 1.0. Las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-33957 a CVE-2024-33974: 9.8 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2024-33975 a CVE-2024-33995: 7.1 | CVSS:3.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L | CWE-79.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2024-33957 y CVE-2024-33958: vulnerabilidad inyección SQL en E-Negosyo System que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una consulta especialmente diseñada al servidor y recuperar toda la información almacenada en ella a través de los siguientes parámetros:
    • CVE-2024-33957: 'id' en '/admin/orders/controller.php'.
    •  CVE-2024-33958: 'phonenumber' en '/passwordrecover.php'.
  • CVE-2024-3359 a CVE-2024-3366: vulnerabilidad de inyección SQL en PayPal, Credit Card y Debit Card Payment que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una consulta especialmente diseñada al servidor y recuperar toda la información almacenada en él a través de los siguientes parámetros:
    • CVE-2024-33959: 'categ' en '/admin/mod_reports/printreport.php'.
    • CVE-2024-33960: 'end' en '/admin/mod_reports/printreport.php'.
    • CVE-2024-33961: 'code' en '/admin/mod_reservation/controller.php'.
    • CVE-2024-33962: 'code' en '/admin/mod_reservation/index.php'.
    • CVE-2024-33963: 'id' en '/admin/mod_room/index.php'.
    • CVE-2024-33964: 'id' en '/admin/mod_users/index.php'.
    • CVE-2024-33965: 'view' en '/tubigangarden/admin/mod_accomodation/index.php'.
    • CVE-2024-33966: 'xtsearch' en '/admin/mod_reports/index.php'.
  • CVE-2024-33967 a CVE-2024-33974: vulnerabilidad de inyección SQL en School Attendance Monitoring System y School Event Management System 1.0 que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una consulta especialmente diseñada al servidor y recuperar toda la información almacenada en él a través de los siguientes parámetros:
    • CVE-2024-33967: 'Attendance' y 'YearLevel' en '/AttendanceMonitoring/report/attendance_print.php'.
    • CVE-2024-33968: 'Attendance' y 'YearLevel' en '/AttendanceMonitoring/report/index.php'.
    • CVE-2024-33969: 'id' en '/AttendanceMonitoring/department/index.php'.
    • CVE-2024-33970: 'studid' en '/candidate/controller.php'.
    • CVE-2024-33971: 'username' en '/login.php'.
    • CVE-2024-33972: 'events' en '/report/event_print.php'.
    • CVE-2024-33973: 'Attendance' y 'YearLevel' en '/report/attendance_print.php'.
    • CVE-2024-33974: 'Users en '/report/printlogs.php'.
  • CVE-2024-33975 y CVE-2024-33976: vulnerabilidad Cross-Site Scripting (XSS) en E-Negosyo System que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una carga útil JavaScript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesión de navegador a través de los siguientes parámetros:
    • CVE-2024-33975: 'view' en '/admin/products/index.php'.
    • CVE-2024-33976: 'id' en '/admin/user/index.php'.
  • CVE-2024-33977 y CVE-2024-33978: vulnerabilidad Cross-Site Scripting (XSS) en E-Negosyo System que afecta a la versión 1.0. Un atacante podría crear una URL especialmente diseñada y enviarla a una víctima para obtener los detalles de su cookie de sesión a través de los siguientes parámetros:
    • CVE-2024-33977: 'view' en /admin/orders/index.php'.
    • CVE-2024-33978: 'category' en /index.php'.
  • CVE-2024-33979 a CVE-2024-33981: vulnerabilidad Cross-Site Scripting (XSS) en PayPal, Credit Card y Debit Card Payment que afecta a la versión 1.0. Un atacante podría crear una URL especialmente diseñada y enviarla a una víctima para obtener detalles de su cookie de sesión a través de los siguientes parámetros:
    • CVE-2024-33979: 'q', 'arrival', 'departure' y 'accomodation' en '/index.php'. 
    • CVE-2024-33980: 'start' en '/admin/mod_reports/printreport.php'.
    • CVE-2024-33981. 'start en '/admin/mod_reports/index.php'.
  • CVE-2024-33982 a CVE-2024-33988: vulnerabilidad Cross-Site Scripting (XSS) en School Attendance Monitoring System y School Event Management System que afecta a la versión 1.0. Un atacante podría crear una URL especialmente diseñada y enviarla a una víctima para obtener detalles de su cookie de sesión a través de los siguientes parámetros:
    • CVE-2024-33982: 'StudentID' en '/AttendanceMonitoring/student/controller.php'.
    • CVE-2024-33983: 'Attendance', 'attenddate' y 'YearLevel' en '/AttendanceMonitoring/report/attendance_print.php'.
    • CVE-2024-33984: 'Attendance', 'attenddate' y 'YearLevel' en '/AttendanceMonitoring/report/index.php'.
    • CVE-2024-33985: 'View' en '/course/index.php'.
    • CVE-2024-33986: 'View' en '/department/index.php'.
    • CVE-2024-33987: 'Attendance', 'attenddate', 'YearLevel', 'eventdate', 'events', 'Users' y 'YearLevel' en '/report/index.php'.
    • CVE-2024-33988: 'Attendance', 'attenddate' y 'YearLevel' en '/report/attendance_print.php'.
  • CVE-2024-33989 y CVE-2024-33990: vulnerabilidad Cross-Site Scripting (XSS) en School Event Management System que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una carga útil javascript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesión de navegador a través de los siguientes parámetros:
    • CVE-2024-33989: 'eventdate' y 'events' en 'port/event_print.php'.
    • CVE-2024-33990: 'id' y 'view' en '/user/index.php'.
  • CVE-2024-33991 y CVE-2024-33992: vulnerabilidad Cross-Site Scripting (XSS) en School Event Management System que afecta a la versión 1.0. Un atacante podría explotar esta vulnerabilidad enviando una consulta especialmente diseñada al servidor y recuperar toda la información almacenada en él a través de los parámetros:
    • CVE-2024-33991: 'view' en '/eventwinner/index.php'.
    • CVE-2024-33992: 'view' en '/student/index.php'.
  • CVE-2024-33993 y CVE-2024-33994: vulnerabilidad Cross-Site Scripting (XSS) en School Event Management System que afecta a la versión 1.0. Un atacante podría crear una URL especialmente diseñada y enviarla a una víctima para obtener los detalles de su sesión a través de los parámetros:
    • CVE-2024-33993 'view' en /candidate/index.php'.
    • CVE-2024-33994 'view' en '/event/index.php'.
Listado de referencias
Ficha del producto
E-Negosyo System 1.0
School Event Management System 1.0
School Attendance Monitoring System 1.0
Etiquetas