Skip to main content

Vulnerabilidades críticas en el software MegaBIP

junio 18, 2024


ID CVE CVE-2024-1576
Fecha de publicación 12 de junio de 2024
Proveedor Jan Syski
Producto MegaBIP
Versiones vulnerables Todo hasta el 5.09
Tipo de vulnerabilidad (CWE) Neutralización inadecuada de elementos especiales utilizados en un comando SQL («Inyección SQL») (CWE-89)
Fuente del informe Investigación propia
ID CVE CVE-2024-1577
Fecha de publicación 12 de junio de 2024
Proveedor Jan Syski
Producto MegaBIP
Versiones vulnerables Todo
Tipo de vulnerabilidad (CWE) Control inadecuado de la generación de código («Inyección de código») (CWE-94)
Fuente del informe Investigación propia
ID CVE CVE-2024-1659
Fecha de publicación 12 de junio de 2024
Proveedor Jan Syski
Producto MegaBIP
Versiones vulnerables Todo hasta 5.10
Tipo de vulnerabilidad (CWE) Carga sin restricciones de archivos con tipo peligroso (CWE-434)
Fuente del informe Investigación propia

Descripción

Durante su propia investigación, CERT Polska encontró tres vulnerabilidades críticas en el software MegaBIP y participó en la coordinación de su divulgación.

la vulnerabilidad CVE-2024-1576 es una vulnerabilidad de inyección SQL en el software MegaBIP. Permite a un atacante obtener privilegios de administrador del sitio, incluido el acceso al panel de administración y la capacidad de cambiar la contraseña del administrador. Este problema afecta a las versiones del software MegaBIP hasta la 5.09.

la vulnerabilidad CVE-2024-1577 permite ejecutar código arbitrario en el servidor sin requerir autenticación guardando el código PHP creado por el atacante en uno de los archivos del sitio web. Este problema afecta a todas las versiones del software MegaBIP.

la vulnerabilidad CVE-2024-1659 permite a un atacante cargar cualquier archivo en el servidor (incluido un archivo de código PHP) sin autenticación. Este problema afecta a las versiones del software MegaBIP hasta la 5.10.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Translate »