Vulnerabilidad en el software de gestión de recursos humanos ConnX ESP
Identificación CVE | CVE-2024-7269 |
Fecha de publicación | 28 de agosto de 2024 |
Proveedor | ConnX |
Producto | Gestión de RRHH ESP |
Versiones vulnerables | Todo antes del 6.6 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de la entrada durante la generación de páginas web (XSS o ‘Cross-site Scripting’) (CWE-79) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska ha recibido un informe sobre una vulnerabilidad en el software de gestión de recursos humanos ConnX ESP y ha participado en la coordinación de su divulgación.
La vulnerabilidad CVE-2024-7269 En el formulario «Actualización de datos personales» de ConnX ESP HR Management se permite un ataque XSS almacenado. Un atacante podría inyectar un script para que se ejecute en el navegador del usuario.
Después de varios intentos de contactar con el proveedor, no recibimos respuesta. El buscador nos informó que este problema afecta a versiones de ESP HR Management anteriores a la 6.6.
Créditos
Agradecemos a Mariusz Sepczuk por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.