Argitalpen data: 2020/05/26
Garrantzia: Kritikoa
Kaltetutako baliabideak:
GESIO ERP, 11.2 bertsioaren aurrekoak.
Azalpena:
INCIBE erakundeak ahultasun baten berri eman du GESIO ERP softwarean, INCIBE-2020-225 barne kodearekin. Francisco Palmak, Luis Vázquezek eta Diego Leónek aurkitu zuten.
CVE-2020-8967 kodea esleitu zaio ahultasun horri. 10eko oinarri puntuazioa kalkulatu da, CVSS v3 kodearen arabera; CVSS kalkulua honakoa da: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.
Konponbidea:
11.2 bertsiora eguneratzea.
Xehetasuna:
GESIO ERP sistema SQL INJEKZIOAREN eraginpean dago, cms_plantilla_sites.php artxiboko "idsite" URL parametroan.
Ahultasun horren bidez, urrutiko erasotzaile batek honako hiru ekintzak gauzatu litzake, gutxienez:
Ahultasun horren ondorioz, erasotzaile bat gai izango litzateke datu-basearen informazio osoa berreskuratzeko.
GESIO sistemak honako ekintzak zabaldu ditu arazoa konpontzeko:
CWE-89: SQL komando batean erabilitako komando berezien neutralizazio okerra (SQL injekzioa).
Denbora lerroal:
2019/04/02 ? Ikertzaileen ikerketa.
2020/04/08 ? Ikertzaileak INCIBErekin jarri dira harremanetan.
2020/04/21 ? GESIOren segurtasun-taldeak INCIBEri baieztatu dio ahultasuna, zuzenketa bertsioa eta softwarearen partxea v11.2an argitaratu direla adieraziz (Segurtasun-partxea).
2020/06/01 ? Abisua INCIBE erakundeak argitaratu du.
Abisu horren inguruko informazio gehiago baduzu, jar zaitez harremanetan INCIBErekin, CNAren ahultasun-erreportean adierazten den moduan.
Etiketak: 0day, Ahultasuna, CNA, Eguneratzea