Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2022/01/24

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Bertsioak:

• 3.11 bertsiotik 3.11.4 bertsiora bitartekoak;
• 3.10 bertsiotik 3.10.8 bertsiora bitartekoak;
• 3.9 bertsiotik 3.9.11 bertsiora bitartekoak;
• zerbitzurik gabeko lehenagoko bertsioak.

Azalpena:

Paul Holden, Ostapbender, oct0pus7 eta Deds Castillo ikertzaileek 4 ahultasunen berri eman dute, 2 larritasun kritikokoak eta 2 ertainekoak. Horiek baliatuz erasotzaile batek SQL injekzio bat egin lezake, CSRF ahultasun bat eragin eta egutegiko gertaeretara eta baimendu gabeko kalifikazioen txostenetara CRUD sarbidea lortu.

Konponbidea:

3.11.5, 3.10.9 eta 3.9.12 bertsioetara eguneratzea, hurrenez hurren.

Xehetasuna:

• SQL injekzio arriskua erabiltzaile saioetan h5p jarduera eskuratzeko kodean. Ahultasun horretarako CVE-2022-0332 identifikatzailea erabili da.
• CSRF arriskua intsignien lerrokatzearen ezabaketan. Ahultasun horretarako CVE-2022-0335 identifikatzailea erabili da.

Larritasun ertaineko gainerako ahultasunetarako CVE-2022-0333 eta CVE-2022-0334 identifikatzaileak esleitu dira.

Etiketak: Eguneraketa, CMS, Ahultasuna