School ERP Pro+Responsive, versiĂłn 1.0.
INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades, 1 de severidad crĂtica y 2 medias, que afectan a School ERP Pro+Responsive de AROX SOLUTION, un sistema de gestiĂłn escolar basado en la web, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-4822: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-79
- CVE-2024-4823: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79
- CVE-2024-4824: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
No hay soluciĂłn reportada por el momento.
CVE-2024-4822: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite XSS a travĂ©s de los parĂĄmetros username y password en ‘/index.php’. Esta vulnerabilidad permite a un atacante tomar parcialmente el control de la sesiĂłn del navegador de la vĂctima.
CVE-2024-4823: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite XSS a travĂ©s del Ăndice ‘/schoolerp/office_admin/’ en los parĂĄmetros es_bankacc, es_bank_name, es_bank_pin, es_checkno, es_teller_number, dc1 y dc2. Un atacante podrĂa enviar una carga Ăștil JavaScript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesiĂłn de navegador.
CVE-2024-4824: vulnerabilidad en School ERP Pro+Responsive 1.0 que permite una inyecciĂłn SQL a travĂ©s del Ăndice ‘/SchoolERP/office_admin/’ en los parĂĄmetros groups_id, examname, classes_id, es_voucherid, es_class, etc. Esta vulnerabilidad podrĂa permitir a un ataque remoto enviar una consulta SQL especialmente diseñada al servidor y recuperar toda la informaciĂłn almacenada en la BBDD.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.