MĂșltiples vulnerabilidades en BudyBoss

MĂșltiples vulnerabilidades en BudyBoss
cristian.cadenas
Mar, 30/05/2023 – 10:50

Recursos Afectados

Sitios WordPress que utilicen la plataforma BuddyBoss, versiĂłn 2.2.9.

DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades en la plataforma BuddyBoss, que han sido descubiertas por Anxo Januario Gonzales.

A estas vulnerabilidades se les han asignado los cĂłdigos:

  • CVE-2023-32669:
    • PuntuaciĂłn base CVSS v3.1: 5,4.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-639: acceso no autorizado a datos de otro usuario.
  • CVE-2023-32670:
    • PuntuaciĂłn base CVSS v3.1: 9,0.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H.
    • Tipo de vulnerabilidad: CWE-79: neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (Cross-Site Scripting).
  • CVE-2023-32671:
    • PuntuaciĂłn base CVSS v3.1: 6,3.
    • CĂĄlculo del CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-79: neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (Cross-Site Scripting).
5 – CrĂ­tica
SoluciĂłn

No se ha identificado una soluciĂłn por el momento.

Detalle
  • CVE-2023-32669: vulnerabilidad de bypass de autorizaciĂłn, cuya explotaciĂłn podrĂ­a permitir a un usuario autenticado acceder y renombrar los ĂĄlbumes de otros usuarios. Esta vulnerabilidad puede ser explotada cambiando la identificaciĂłn del ĂĄlbum (id).
  • CVE-2023-32670: vulnerabilidad de Cross-Site Scripting, la cual podrĂ­a permitir, a un atacante local con privilegios bĂĄsicos, ejecutar un payload malicioso a travĂ©s del parĂĄmetro “[nombre]=imagen.jpg”, permitiendo asignar un payload javascript persistente que se activarĂ­a al cargar la imagen asociada.
  • CVE-2023-32671: vulnerabilidad de Cross-Site Scripting almacenada, cuya explotaciĂłn podrĂ­a permitir a un atacante almacenar un payload javascript malicioso a travĂ©s de una solicitud POST al enviar una invitaciĂłn a otro usuario.
Listado de referencias

Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.