Múltiples vulnerabilidades en ARCONTE Áurea de Fujitsu

Múltiples vulnerabilidades en ARCONTE Áurea de Fujitsu
Vie, 01/09/2023 – 11:49

Recursos Afectados

Arconte Aurea, versiones inferiores a la 1.5.0.0

Descripción

INCIBE ha coordinado la publicación de 5 vulnerabilidades que afectan a Arconte Áurea, de Fujitsu, un software para la grabación de vistas judiciales, descubiertas por Pablo Arias Rodriguez y Jorge Alberto Palma Reyes del CSIRT-CV.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
  • CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
  • CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
  • CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.
4 – Alta
Solución

Estas vulnerabilidades han sido solucionadas por Fujitsu en la versión 1.5.0.0, publicada el 4/4/2022. Todas las nuevas versiones del producto, incluida la última 1.6.2.3, también incluyen las correcciones.

Detalle
  • CVE-2023-4092: vulnerabilidad de inyección SQL, cuya explotación podría permitir a un atacante leer datos sensibles de la base de datos, modificar datos (insertar/actualizar/eliminar), realizar operaciones de administración de bases de datos y, en algunos casos, ejecutar comandos en el sistema operativo.
  • CVE-2023-4093: vulnerabilidad XSS, tanto reflejado como persistente, cuya explotación podría permitir a un atacante inyectar código JavaScript malicioso, comprometer el navegador de la víctima y tomar el control del mismo, redirigir al usuario a dominios maliciosos o acceder a la información que está viendo el usuario legítimo.
  • CVE-2023-4094: el sistema de autenticación de ARCONTE Aurea podría permitir a un atacante realizar solicitudes de acceso incorrectas con el objetivo de bloquear cada una de las cuentas legítimas y provocar una denegación de servicio. Además, se ha identificado un recurso que podría permitir sortear el límite de intentos fijado en el formulario de acceso.
  • CVE-2023-4095: vulnerabilidad de enumeración de usuarios, la cual podría permitir a un atacante obtener una lista de usuarios registrados en la aplicación, obteniendo la información necesaria para realizar ataques más complejos a la plataforma.
  • CVE-2023-4096: el software afectado tiene un mecanismo de recuperación de contraseña débil, que podría permitir a un atacante realizar un ataque de fuerza bruta al número PIN, enviado por correo electrónico, con el objetivo de cambiar la contraseña de un usuario legítimo.
Listado de referencias

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.