Varios errores encontrados en 3 software de código abierto utilizado por varias empresas

vulnerabilidad de software empresarial

Los investigadores de ciberseguridad descubrieron el martes nueve vulnerabilidades de seguridad que afectan a tres proyectos de código abierto – EspoCRM, Pimcore y Akaunting – que son ampliamente utilizados por varias pymes y, si se explotan con éxito, podrían allanar el camino para ataques más sofisticados.

Todas las vulnerabilidades afectadas que afectan a EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 y Akaunting v2.1.12 se corrigieron dentro de un día de detección responsable, señalaron los investigadores Wiktor Sędkowski de Nokia y Trevor Christiansen de Rapid7. Seis de las nueve deficiencias se identificaron en el proyecto Akaunting.

EspoCRM es una aplicación de gestión de relaciones con los clientes (CRM) de código abierto, mientras que Pimcore es una plataforma de software empresarial de código abierto para la gestión de datos de clientes, gestión de activos digitales, gestión de contenido y comercio digital. Akaunting, por otro lado, es un software de contabilidad en línea de código abierto diseñado para rastrear facturas y gastos.

La lista de problemas es la siguiente:

  • CVE-2021-3539 (Puntuación CVSS: 6.3) – Error persistente XSS en EspoCRM v6.1.6
  • CVE-2021-31867 (Puntuación CVSS: 6.5) – Inyección SQL en Pimcore Customer Data Framework v3.0.0
  • CVE-2021-31869 (Puntuación CVSS: 6.5) – Inyección SQL en Pimcore AdminBundle v6.8.0
  • CVE-2021-36800 (Puntuación CVSS: 8.7) – Inserción de comandos del sistema operativo en Akaunting v2.1.12
  • CVE-2021-36801 (Puntuación CVSS: 8.5) – Omisión de autenticación en Akaunting v2.1.12
  • CVE-2021-36802 (Puntuación CVSS: 6.5) – Denegación de servicio a través de la variable «locale» controlada por el usuario en Akaunting v2.1.12
  • CVE-2021-36803 (Puntuación CVSS: 6.3) – XSS permanente durante la grabación del avatar en Akaunting v2.1.12
  • CVE-2021-36804 (Puntuación CVSS: 5.4) – Restablecimiento de contraseña débil en Akaunting v2.1.12
  • CVE-2021-36805 (Puntuación CVSS: 5.2) – Pie de página de factura XSS permanente en Akaunting v2.1.12

La explotación exitosa de las vulnerabilidades podría permitir que un oponente autenticado ejecute código JavaScript arbitrario, controle el sistema operativo subyacente y lo use como base para lanzar más ataques infames, desencadenar la denegación de servicio a través de una solicitud HTTP especialmente diseñada e incluso cambiar la compañía asociada. con una cuenta de usuario sin ningún permiso.

EspoCRM
EspoCRM
Marco de datos del cliente de Pimcore

Akaunting también aborda una vulnerabilidad de restablecimiento de contraseña débil, donde un atacante podría explotar la función «Olvidé mi contraseña» para enviar un correo electrónico de phishing de un usuario registrado que contiene un enlace malicioso en el que se hace clic con un token de restablecimiento de contraseña. El mal actor puede usar el token para establecer una contraseña de su elección.

«Estos tres proyectos tienen usuarios reales, clientes reales de sus servicios de soporte auxiliar y versiones alojadas en la nube, y son, sin duda, las principales aplicaciones que respaldan a las miles de pymes que funcionan hoy en día», dijeron los investigadores.

«Las actualizaciones a las últimas versiones de las aplicaciones afectadas resolverán todos estos problemas. Si la actualización es difícil o imposible debido a factores externos o costumbres, cambios locales, los usuarios de estas aplicaciones pueden limitar su exposición al no presentar sus instancias de producción». directamente a Internet; en su lugar, solo expóngalos a redes internas confiables con personas internas confiables».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática