Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Vulnerabilidad clickjacking en Clibo Manager

Fecha29/10/2024
Importancia3 - Media
Recursos Afectados

Clibo Manager, versión 1.1.9.12.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a Clibo Manager v1.1.9.12, una plataforma para la gestión de venta de abonos, entradas y gestión de abonados, la cual ha sido descubierta por David Padilla Alvarado.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE.

  • CVE-2024-10454: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-1021.
Solución

La vulnerabilidad ha sido solucionada por el equipo de Clibo Manager en la versión 1.1.9.18.

Detalle

CVE-2024-10454: vulnerabilidad de clickjacking en Clibo Manager v1.1.9.12 en el directorio '/public/login', un panel de inicio de sesión. Esta vulnerabilidad se produce debido a la ausencia de una cabecera en el lado del servidor X-Frame-Options. Un atacante podría superponer un iframe transparente para realizar un clickjacking de las víctimas.

Omisión de autenticación en Spring Security

Fecha29/10/2024
Importancia5 - Crítica
Recursos Afectados

Spring Security, versiones:

  • desde 5.7.0 hasta 5.7.12;
  • desde 5.8.0 hasta 5.8.14;
  • desde 6.0.0 hasta 6.0.12;
  • desde 6.1.0 hasta 6.1.10;
  • desde 6.2.0 hasta 6.2.6;
  • desde 6.3.0 hasta 6.3.3;
  • versiones más antiguas que las mencionadas y que carecen de soporte.
Descripción

Los investigadores, tkswifty y d4y1ightl, han reportado una vulnerabilidad de severidad crítica que afecta a aplicaciones Spring WebFlux que contienen reglas de autorización de Spring Security, y cuya explotación podría permitir a un atacante omitir el proceso de autenticación.

Solución

Actualizar Spring Security a las versiones:

Detalle

Las aplicaciones Spring WebFlux tienen reglas de autorización de Spring Security en recursos estáticos y dichas reglas, podrían ser omitidas en determinadas circunstancias, concretamente se deberían cumplir las siguientes condiciones:

  • debe ser una aplicación WebFlux,
  • debe estar utilizando el soporte de recursos estáticos de Spring,
  • debe tener una regla de autorización non-permitAll aplicada al soporte de recursos estáticos.

Se ha asignado el identificador CVE-2024-38821 para esta vulnerabilidad.