Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en WEPA Print Away

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 27/01/2023

Importancia:
Media

Recursos afectados:

  • Componente de carga de documentos de WEPA Print Away.
  • Componente de generaciĂłn de cĂłdigo de liberaciĂłn de WEPA Print Away.

DescripciĂłn:

INCIBE ha coordinado la publicaciĂłn de 2 vulnerabilidades en WEPA Print Away, que han sido descubiertas por Enrique Benvenutto Navarro.

A estas vulnerabilidades se les han asignado los cĂłdigos:

  • CVE-2022-42908. Se ha calculado una puntuaciĂłn base CVSS v3.1 de 6,3, siendo el cĂĄlculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N. El tipo de vulnerabilidad es CWE-79: neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (Cross-Site Scripting).
  • CVE-2022-42909. Se ha calculado una puntuaciĂłn base CVSS v3.1 de 6,5, siendo el cĂĄlculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N. El tipo de vulnerabilidad es CWE-284: control de acceso inadecuado.

SoluciĂłn:

Ambas vulnerabilidades han sido solucionadas por el equipo de seguridad de WEPA.

Detalle:

WEPA Print Away es una soluciĂłn de gestiĂłn de impresiĂłn en la nube utilizada para la impresiĂłn de documentos por estudiantes en entornos de educaciĂłn superior y universitarios.

  • CVE-2022-42908: WEPA Print Away es vulnerable a un XSS almacenado. No sanea correctamente los nombres de archivo cargados, lo que podrĂ­a permitir a un atacante engañar a un usuario para que cargue un documento con un nombre de archivo malicioso, que se incluirĂĄ en las respuestas HTTP posteriores, permitiendo que se produzca un XSS almacenado. Este ataque es persistente a travĂ©s de las sesiones de la vĂ­ctima.
  • CVE-2022-42909: WEPA Print Away no verifica que un usuario tenga autorizaciĂłn para acceder a los documentos antes de generar Ăłrdenes de impresiĂłn y sus cĂłdigos de liberaciĂłn asociados. Esto podrĂ­a permitir a un atacante generar Ăłrdenes de impresiĂłn y cĂłdigos de liberaciĂłn para documentos que no posee e imprimirlos sin autorizaciĂłn. Para explotar esta vulnerabilidad, el usuario debe tener una cuenta en wepanow.com o en cualquiera de las instituciones a las que prestan servicio, y estar conectado.

Si tienes mĂĄs informaciĂłn sobre este aviso, ponte en contacto con INCIBE, como se indica en la secciĂłn de ‘AsignaciĂłn y publicaciĂłn de CVE‘.

Encuesta valoraciĂłn

Etiquetas:
0day, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.