Verificación insuficiente de la autenticidad de los datos en Syltek

Fecha de publicación: 14/03/2022

Importancia:
Alta

Recursos afectados:

Syltek, versiones anteriores  a la 10.22.00.

Descripción:

INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.

Solución:

Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.

Detalle:

Aplicación Syltek, versiones anteriores a la 10.22.00, no valida correctamente si el ID del producto tiene asociado un método válido de pago.

Esto podría permitir a un atacante omitir el sistema de pagos mediante una petición especialmente diseñada, marcando elementos como pagados sin ninguna verificación.

CWE-345: verificación insuficiente de la autenticidad de los datos.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.