MĂșltiples vulnerabilidades en School ERP Pro+Responsive de AROX SOLUTION

MĂșltiples vulnerabilidades en School ERP Pro+Responsive de AROX SOLUTION

Recursos Afectados

School ERP Pro+Responsive, versiĂłn 1.0.

DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades, 1 de severidad crĂ­tica y 2 medias, que afectan a School ERP Pro+Responsive de AROX SOLUTION, un sistema de gestiĂłn escolar basado en la web, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4822: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-79
  • CVE-2024-4823: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79
  • CVE-2024-4824: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
5 – CrĂ­tica
SoluciĂłn

No hay soluciĂłn reportada por el momento.

Detalle

CVE-2024-4822: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite XSS a travĂ©s de los parĂĄmetros username y password en ‘/index.php’. Esta vulnerabilidad permite a un atacante tomar parcialmente el control de la sesiĂłn del navegador de la vĂ­ctima.

CVE-2024-4823: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite XSS a travĂ©s del Ă­ndice ‘/schoolerp/office_admin/’ en los parĂĄmetros es_bankacc, es_bank_name, es_bank_pin, es_checkno, es_teller_number, dc1 y dc2. Un atacante podrĂ­a enviar una carga Ăștil JavaScript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesiĂłn de navegador.

CVE-2024-4824: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite una inyecciĂłn SQL a travĂ©s del Ă­ndice ‘/SchoolERP/office_admin/’ en los parĂĄmetros groups_id, examname, classes_id, es_voucherid, es_class, etc. Esta vulnerabilidad podrĂ­a permitir a un ataque remoto enviar una consulta SQL especialmente diseñada al servidor y recuperar toda la informaciĂłn almacenada en la BBDD.

Listado de referencias

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.