Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Cups Easy

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en Cups Easy

Aviso
Recursos Afectados

Cups Easy (Purchase & Inventory), versiĂłn 1.0.

DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 42 vulnerabilidades de severidad alta que afectan a Cups Easy, un software de compras e inventario basado en PHP, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes cĂłdigos, con misma puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-23855 al CVE-2024-23896: 7.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N | CWE-79.

4 – Alta
SoluciĂłn

No hay soluciĂłn reportada por el momento.

Detalle

Se ha reportado una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual no se codifica suficientemente las entradas controladas por el usuario, lo que provoca una vulnerabilidad de Cross-Site Scripting (XSS) a través de distintas rutas y paråmetros. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente diseñada a un usuario autenticado y robar sus credenciales de cookie de sesión.

La relaciĂłn de CVE asignados con las URL y parĂĄmetros afectados es la siguiente:

  • CVE-2024-23855: /cupseasylive/taxcodemodify.php, mĂșltiples parĂĄmetros.
  • CVE-2024-23856: /cupseasylive/itemlist.php, parĂĄmetro description.
  • CVE-2024-23857: /cupseasylive/grnlinecreate.php, parĂĄmetro batchno.
  • CVE-2024-23858: /cupseasylive/stockissuancelinecreate.php, parĂĄmetro batchno.
  • CVE-2024-23859: /cupseasylive/taxstructurelinecreate.php, parĂĄmetro flatamount.
  • CVE-2024-23860: /cupseasylive/currencylist.php, parĂĄmetro description.
  • CVE-2024-23861: /cupseasylive/unitofmeasurementcreate.php, parĂĄmetro unitofmeasurementid.
  • CVE-2024-23862: /cupseasylive/grndisplay.php, parĂĄmetro grnno. 
  • CVE-2024-23863: /cupseasylive/taxstructuredisplay.php, parĂĄmetro description.
  • CVE-2024-23864: /cupseasylive/countrylist.php, parĂĄmetro description.
  • CVE-2024-23865: /cupseasylive/taxstructurelist.php, parĂĄmetro description.
  • CVE-2024-23866: /cupseasylive/countrycreate.php, parĂĄmetro countryid.
  • CVE-2024-23867: /cupseasylive/statecreate.php, parĂĄmetro stateid.
  • CVE-2024-23868: /cupseasylive/grnlist.php, parĂĄmetro delete.
  • CVE-2024-23869: /cupseasylive/stockissuanceprint.php, parĂĄmetro issuanceno.
  • CVE-2024-23870: cupseasylive/stockissuancelist.php, parĂĄmetro delete.
  • CVE-2024-23871: /cupseasylive/unitofmeasurementmodify.php, parĂĄmetro description.
  • CVE-2024-23872: /cupseasylive/locationmodify.php, parĂĄmetro description.
  • CVE-2024-23873: /cupseasylive/currencymodify.php, parĂĄmetro currencyid.
  • CVE-2024-23874: /cupseasylive/companymodify.php, parĂĄmetro address1.
  • CVE-2024-23875: /cupseasylive/stockissuancedisplay.php, parĂĄmetro issuanceno.
  • CVE-2024-23876: /cupseasylive/taxstructurecreate.php, parĂĄmetro description.
  • CVE-2024-23877: /cupseasylive/currencycreate.php, parĂĄmetro currencyid. 
  • CVE-2024-23878: /cupseasylive/grnprint.php, parĂĄmetro grnno.
  • CVE-2024-23879: /cupseasylive/statemodify.php, parĂĄmetro description.
  • CVE-2024-23880: /cupseasylive/taxcodelist.php, parĂĄmetro description.
  • CVE-2024-23881: /cupseasylive/statelist.php, parĂĄmetro description.
  • CVE-2024-23882: /cupseasylive/taxcodecreate.php, parĂĄmetro taxcodeid.
  • CVE-2024-23883: /cupseasylive/taxstructuremodify.php, parĂĄmetro description.
  • CVE-2024-23884: /cupseasylive/grnmodify.php, parĂĄmetro grndate.
  • CVE-2024-23885: /cupseasylive/countrymodify.php, parĂĄmetro countryid.
  • CVE-2024-23886: /cupseasylive/itemmodify.php, parĂĄmetro bincardinfo.
  • CVE-2024-23887: /cupseasylive/grncreate.php, parĂĄmetro grndate.
  • CVE-2024-23888: /cupseasylive/stocktransactionslist.php, parĂĄmetro itemidy.
  • CVE-2024-23889: /cupseasylive/itemgroupcreate.php, parĂĄmetro itemgroupid.
  • CVE-2024-23890: /cupseasylive/itempopup.php, parĂĄmetro description.
  • CVE-2024-23891: /cupseasylive/itemcreate.php, parĂĄmetro itemid.
  • CVE-2024-23892: /cupseasylive/costcentercreate.php, parĂĄmetro costcenterid.
  • CVE-2024-23893: /cupseasylive/costcentermodify.php, parĂĄmetro costcenterid.
  • CVE-2024-23894: /cupseasylive/stockissuancecreate.php, parĂĄmetro issuancedate.
  • CVE-2024-23895: /cupseasylive/locationcreate.php, parĂĄmetro locationid.
  • CVE-2024-23896: /cupseasylive/stock.php, parĂĄmetro batchno.
Listado de referencias
Web del producto

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.