Múltiples vulnerabilidades en Janto Ticketing Software

Múltiples vulnerabilidades en Janto Ticketing Software

Recursos Afectados

Janto Ticketing Software, versión 4.3r10.cks.

Descripción

 INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan a Janto Ticketing Software versión 4.3r10.cks, un programa de venta de entradas desarrollado por Impronta, las cuales han sido descubiertas por Alejandro Amorín Niño.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4537: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-639 

  • CVE-2024-4538: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-639 

4 – Alta
Solución

Las vulnerabilidades fueron solucionadas por el equipo de Impronta en la versión 10.cks, lanzada en noviembre de 2022.

A raíz de la notificación de la vulnerabilidad por parte de INCIBE, Impronta ha vuelto a realizar una revisión exhaustiva del servicio y se han vuelto a analizar las posibles debilidades del proceso de validación en la llamada del servicio, incluyendo medidas adicionales en la versión R11.

Detalle
  • CVE-2024-4537: vulnerabilidad IDOR en Janto Ticketing Software que afecta a la versión 4.3r10. Esta vulnerabilidad podría permitir a un usuario remoto obtener la URL de descarga de otro usuario para obtener el billete comprado.
  • CVE-2024-4538: vulnerabilidad IDOR en Janto Ticketing Software que afecta a la versión 4.3r10. Esta vulnerabilidad podría permitir a un usuario remoto obtener el boleto de evento de un usuario mediante la creación de una solicitud específica con el ID de referencia del boleto, lo que lleva a la exposición de datos confidenciales del usuario.
Listado de referencias

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.