MĂșltiples vulnerabilidades en QSige de IDM Sistemas

MĂșltiples vulnerabilidades en QSige de IDM Sistemas
Jue, 14/09/2023 – 11:29

Recursos Afectados

QSige, versiĂłn 3.0.0.0.

DescripciĂłn

INCIBE ha coordinado la publicación de 7 vulnerabilidades que afectan a QSige de IDM Sistemas, un sistema inteligente de gestión de esperas, descubiertas por Pablo Arias Rodríguez, Jorge Alberto Palma Reyes y Rubén Barberå Pérez, investigadores del Red Team del CSIRT-CV. Mención especial a todo el equipo del CSIRT-CV.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4097: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-434.
  • CVE-2023-4098: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4099: CVSS v3.1: 7,6 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L | CWE-639.
  • CVE-2023-4100: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4101: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-639.
  • CVE-2023-4102: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4103: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
4 – Alta
SoluciĂłn

Las vulnerabilidades reportadas estĂĄn solucionadas en la Ășltima versiĂłn del producto afectado.

Detalle
  • CVE-2023-4097: la funcionalidad de carga de archivos no estĂĄ implementada correctamente y permite cargar cualquier tipo de archivo. Como requisito previo, es necesario que el atacante inicie sesiĂłn en la aplicaciĂłn con un nombre de usuario vĂĄlido.
  • CVE-2023-4098: vulnerabilidad SQLi remota. Se ha identificado que la aplicaciĂłn web no filtra correctamente los parĂĄmetros de entrada, permitiendo inyecciones SQL, DoS o divulgaciĂłn de informaciĂłn. Como requisito previo, es necesario iniciar sesiĂłn en la aplicaciĂłn.
  • CVE-2023-4099: la aplicaciĂłn Monitor de QSige no cuenta con un mecanismo de control de acceso para verificar si el usuario que solicita un recurso tiene permisos suficientes para hacerlo. Como requisito previo, es necesario iniciar sesiĂłn en la aplicaciĂłn.
  • CVE-2023-4100: permite a un atacante realizar ataques XSS almacenados en ciertos recursos. La explotaciĂłn de esta vulnerabilidad puede conducir a una condiciĂłn DoS, entre otras acciones.
  • CVE-2023-4101: el SSO de inicio de sesiĂłn de QSige no cuenta con un mecanismo de control de acceso para verificar si el usuario que solicita un recurso tiene permisos suficientes para hacerlo. Como requisito previo, es necesario iniciar sesiĂłn en la aplicaciĂłn.
  • CVE-2023-4102: las utilidades de QSige se ven afectadas por una vulnerabilidad SQLi remota. Se ha identificado que la aplicaciĂłn web no filtra correctamente los parĂĄmetros de entrada, permitiendo inyecciones SQL, DoS o divulgaciĂłn de informaciĂłn. Como requisito previo, es necesario iniciar sesiĂłn en la aplicaciĂłn.
  • CVE-2023-4103: las estadĂ­sticas de QSige se ven afectadas por una vulnerabilidad SQLi remota. Se ha identificado que la aplicaciĂłn web no filtra correctamente los parĂĄmetros de entrada, permitiendo inyecciones SQL, DoS o divulgaciĂłn de informaciĂłn. Como requisito previo, es necesario iniciar sesiĂłn en la aplicaciĂłn.
Listado de referencias

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.