Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Janto Ticketing Software

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en Janto Ticketing Software

Aviso
Recursos Afectados

Janto Ticketing Software, versiĂłn 4.3r10.cks.

DescripciĂłn

 INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan a Janto Ticketing Software versión 4.3r10.cks, un programa de venta de entradas desarrollado por Impronta, las cuales han sido descubiertas por Alejandro Amorín Niño.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4537: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-639 

  • CVE-2024-4538: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-639 

4 – Alta
SoluciĂłn

Las vulnerabilidades fueron solucionadas por el equipo de Impronta en la versiĂłn 10.cks, lanzada en noviembre de 2022.

A raĂ­z de la notificaciĂłn de la vulnerabilidad por parte de INCIBE, Impronta ha vuelto a realizar una revisiĂłn exhaustiva del servicio y se han vuelto a analizar las posibles debilidades del proceso de validaciĂłn en la llamada del servicio, incluyendo medidas adicionales en la versiĂłn R11.

Detalle
  • CVE-2024-4537: vulnerabilidad IDOR en Janto Ticketing Software que afecta a la versiĂłn 4.3r10. Esta vulnerabilidad podrĂ­a permitir a un usuario remoto obtener la URL de descarga de otro usuario para obtener el billete comprado.
  • CVE-2024-4538: vulnerabilidad IDOR en Janto Ticketing Software que afecta a la versiĂłn 4.3r10. Esta vulnerabilidad podrĂ­a permitir a un usuario remoto obtener el boleto de evento de un usuario mediante la creaciĂłn de una solicitud especĂ­fica con el ID de referencia del boleto, lo que lleva a la exposiciĂłn de datos confidenciales del usuario.
Listado de referencias
Web del producto

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.