Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en HubBank

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en HubBank

Aviso
Recursos Afectados
  • HubBank, versiĂłn 1.0.2.
DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 5 vulnerabilidades, 1 de severidad crĂ­tica, tres de severidad alta y 1 de severidad media, que afectan a HubBank de Ofofonobs versiĂłn 1.0.2, un script de banca online con notificaciones por SMS y correo electrĂłnico, las cuales han sido descubiertas por David UtĂłn Amaya.

A estas vulnerabilidades se le han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4306: 9.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H | CWE-434

  • CVE-2024-4307 a CVE-2024-4309: 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CWE-89

  • CVE-2024-4310: 6.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L | CWE-79

5 – CrĂ­tica
SoluciĂłn

No hay solución reportada por el momento. 

Detalle
  • CVE-2024-4306: vulnerabilidad crĂ­tica de carga de archivos sin restricciones en HubBank que afecta a la versiĂłn 1.0.2. Esta vulnerabilidad permite a un usuario registrado cargar archivos PHP maliciosos a travĂ©s de campos de documento de carga, lo que resulta en una ejecuciĂłn de webshell.
  • Vulnerabilidad de inyecciĂłn SQL en HubBank que afecta a la versiĂłn 1.0.2. Esta vulnerabilidad podrĂ­a permitir a un atacante enviar una consulta SQL especialmente diseñada a la base de datos a travĂ©s de diferentes endpoints y recuperar la informaciĂłn almacenada en la Base de Datos. Se han asignado los siguientes identificadores:
    • CVE-2024-4307: endpoints /accounts/activities.php?id=1, /accounts/view-deposit.php?id=1, /accounts/view_cards. php?id=1, /accounts/wire-transfer.php?id=1 y /accounts/wiretransfer-pending.php?id=1, parĂĄmetro id.
    • CVE-2024-4308: endpoints /admin/view_users.php?id=1, /admin/viewloan-trans.php?id=1, /admin/view -deposit.php?id=1, /admin/view-domtrans.php?id=1, /admin/delete_cards.php?id=1, /admin/view_cards.php?id=1 y /admin/view_users.php?id=1, parĂĄmetro id.
    • CVE-2024-4309: endpoints /user/transaction.php?id=1,/user/credit-debit_transaction.php?id=1, /user/view_transaction. php?id=1 y /user/viewloantrans.php?id=1, parĂĄmetro id.
  • CVE-2024-4310: vulnerabilidad Cross-site Scripting (XSS) en HubBank que afecta la versiĂłn 1.0.2. Esta vulnerabilidad permite a un atacante enviar una carga Ăștil de JavaScript especialmente diseñada a los formularios de registro y perfil y activar la carga Ăștil cuando algĂșn usuario autenticado carga la pĂĄgina, lo que resulta en una toma de control de la sesiĂłn.
Listado de referencias
HubBank – Online Net Banking PHP Script

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.