Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad clickjacking en Clibo Manager

Fecha de publicación 29/10/2024
Identificador
INCIBE-2024-0536
Importancia
3 - Media
Recursos Afectados

Clibo Manager, versión 1.1.9.12.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a Clibo Manager v1.1.9.12, una plataforma para la gestión de venta de abonos, entradas y gestión de abonados, la cual ha sido descubierta por David Padilla Alvarado.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE.

  • CVE-2024-10454: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-1021.
Solución

La vulnerabilidad ha sido solucionada por el equipo de Clibo Manager en la versión 1.1.9.18.

Detalle

CVE-2024-10454: vulnerabilidad de clickjacking en Clibo Manager v1.1.9.12 en el directorio '/public/login', un panel de inicio de sesión. Esta vulnerabilidad se produce debido a la ausencia de una cabecera en el lado del servidor X-Frame-Options. Un atacante podría superponer un iframe transparente para realizar un clickjacking de las víctimas.

Listado de referencias