Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/26

Garrantzia: Kritikoa

Kaltetutako baliabideak:

GESIO ERP, 11.2 bertsioaren aurrekoak.

Azalpena:

INCIBE erakundeak ahultasun baten berri eman du GESIO ERP softwarean, INCIBE-2020-225 barne kodearekin. Francisco Palmak, Luis Vázquezek eta Diego Leónek aurkitu zuten.

CVE-2020-8967 kodea esleitu zaio ahultasun horri. 10eko oinarri puntuazioa kalkulatu da, CVSS v3 kodearen arabera; CVSS kalkulua honakoa da: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.

Konponbidea:

11.2 bertsiora eguneratzea.

Xehetasuna:

GESIO ERP sistema SQL INJEKZIOAREN eraginpean dago, cms_plantilla_sites.php artxiboko "idsite" URL parametroan.

Ahultasun horren bidez, urrutiko erasotzaile batek honako hiru ekintzak gauzatu litzake, gutxienez:

• Akatsean oinarritutako erasoa,
• Denboran oinarritutako erasoa,
• Batasunagatiko erasoa.

Ahultasun horren ondorioz, erasotzaile bat gai izango litzateke datu-basearen informazio osoa berreskuratzeko.

GESIO sistemak honako ekintzak zabaldu ditu arazoa konpontzeko:

• Barne-prozedurak hobetzea.
• Fronted-ean injekzioaren aurkako programazio kontrol berriak ezartzea. 11.2 bertsiotik aurrera egongo dira eskuragarri.
• Backend funtzioetan hobekuntza osagarriak egitea, 11.2 bertsiotik aurrera ere eskuragarri egongo direnak.

CWE-89: SQL komando batean erabilitako komando berezien neutralizazio okerra (SQL injekzioa).

Denbora lerroal:

2019/04/02 ? Ikertzaileen ikerketa.

2020/04/08 ? Ikertzaileak INCIBErekin jarri dira harremanetan.

2020/04/21 ? GESIOren segurtasun-taldeak INCIBEri baieztatu dio ahultasuna, zuzenketa bertsioa eta softwarearen partxea v11.2an argitaratu direla adieraziz (Segurtasun-partxea).

2020/06/01 ? Abisua INCIBE erakundeak argitaratu du.

Abisu horren inguruko informazio gehiago baduzu, jar zaitez harremanetan INCIBErekin, CNAren ahultasun-erreportean adierazten den moduan.

Etiketak: 0day, Ahultasuna, CNA, Eguneratzea