Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Sentrifugo

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en Sentrifugo

Aviso
Recursos Afectados
  • Sentrifugo, versiĂłn 3.2.
DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 10 vulnerabilidades, 7 de severidad crĂ­tica y 3 de severidad alta, que afectan a Sentrifugo versiĂłn 3.2, un sistema de gestiĂłn de recursos humanos, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-29870 a CVE-2024-29876: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
  • CVE-2024-29877 a CVE-2024-29879: 7.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L  | CWE-79

5 – CrĂ­tica
SoluciĂłn

No hay soluciĂłn reportada por el momento.

Detalle
  • Vulnerabilidad en Sentrifugo 3.2 que consiste en una inyecciĂłn SQL, y cuya explotaciĂłn podrĂ­a permitir a un usuario remoto enviar una consulta especialmente diseñada al servidor y extraer todos los datos de la misma. La relaciĂłn de CVE asignados es la siguiente:
    • CVE-2024-29870: /sentrifugo/index.php/index/getdepartments/format/html, parĂĄmetro ‘business_id’.
    • CVE-2024-29871: /sentrifugo/index.php/index/updatecontactnumber, parĂĄmetro ‘id’.
    • CVE-2024-29872: /sentrifugo/index.php/empscreening/add, parĂĄmetro ‘agencyids’.
    • CVE-2024-29873: /sentrifugo/index.php/reports/businessunits/format/html, parĂĄmetro ‘bunitname’.
    • CVE-2024-29874: /sentrifugo/index.php/default/reports/activeuserrptpdf, parĂĄmetro ‘sort_name’.
    • CVE-2024-29875: /sentrifugo/index.php/default/reports/exportactiveuserrpt, parĂĄmetro ‘sort_name’.
    • CVE-2024-29876: /sentrifugo/index.php/reports/activitylogreport, parĂĄmetro ‘sortby’.
  • Vulnerabilidad en Sentrifugo 3.2, que consiste en un Cross-Site Scripting (XSS). La explotaciĂłn de esta vulnerabilidad podrĂ­a permitir a un usuario remoto enviar una URL especialmente diseñada a la vĂ­ctima y robar sus datos de sesiĂłn. La relaciĂłn de CVE asignados es la siguiente:
    • CVE-2024-29877: /sentrifugo/index.php/expenses/expensecategories/edit, parĂĄmetro ‘expense_category_name’.
    • CVE-2024-29878: /sentrifugo/index.php/sitepreference/add, parĂĄmetro ‘description’.
    • CVE-2024-29879: /sentrifugo/index.php/index/getdepartments/format/html, parĂĄmetro ‘business_id’.
Listado de referencias
Web del fabricante

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.