MĂșltiples vulnerabilidades en Astrotalks

MĂșltiples vulnerabilidades en Astrotalks

Recursos Afectados

Astrotalks, versiĂłn 03/10/2023.

DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades, de severidad alta, que afectan a Astrotalks, versiĂłn 03/10/2023, plataforma web dedicada a la astrologĂ­a, las cuales han sido descubiertas por David UtĂłn Amaya.

A estas vulnerabilidades se le han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-5523: 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89 

  • CVE-2024-5524: 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-200 

  • CVE-2024-5525: 8.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L | CWE-269 

4 – Alta
SoluciĂłn

Las vulnerabilidades han sido solucionadas en las nuevas versiones.

Detalle
  • CVE-2024-5523: vulnerabilidad de inyecciĂłn SQL en Astrotalks que afecta a la versiĂłn 10/03/2023. Esta vulnerabilidad podrĂ­a permitir que un usuario local autenticado envĂ­e una consulta SQL especialmente diseñada al parĂĄmetro ‘searchString’ y recupere toda la informaciĂłn almacenada en la base de datos.
  • CVE-2024-5524: vulnerabilidad de exposiciĂłn de informaciĂłn en Astrotalks que afecta a la versiĂłn 10/03/2023. Esta vulnerabilidad permite a usuarios no registrados acceder a todos los enlaces internos de la aplicaciĂłn sin necesidad de proporcionar ninguna credencial.
  • CVE-2024-5525: vulnerabilidad de gestiĂłn de privilegios inadecuada en Astrotalks que afecta a la versiĂłn 10/03/2023. Esta vulnerabilidad permite que un usuario local acceda a la aplicaciĂłn como administrador sin ninguna credencial proporcionada, lo que permite al atacante realizar acciones administrativas.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.