Vulnerabilidades críticas en el software MegaBIP
ID CVE | CVE-2024-1576 |
Fecha de publicación | 12 de junio de 2024 |
Proveedor | Jan Syski |
Producto | MegaBIP |
Versiones vulnerables | Todo hasta el 5.09 |
Tipo de vulnerabilidad (CWE) | Neutralización inadecuada de elementos especiales utilizados en un comando SQL («Inyección SQL») (CWE-89) |
Fuente del informe | Investigación propia |
ID CVE | CVE-2024-1577 |
Fecha de publicación | 12 de junio de 2024 |
Proveedor | Jan Syski |
Producto | MegaBIP |
Versiones vulnerables | Todo |
Tipo de vulnerabilidad (CWE) | Control inadecuado de la generación de código («Inyección de código») (CWE-94) |
Fuente del informe | Investigación propia |
ID CVE | CVE-2024-1659 |
Fecha de publicación | 12 de junio de 2024 |
Proveedor | Jan Syski |
Producto | MegaBIP |
Versiones vulnerables | Todo hasta 5.10 |
Tipo de vulnerabilidad (CWE) | Carga sin restricciones de archivos con tipo peligroso (CWE-434) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska encontró tres vulnerabilidades críticas en el software MegaBIP y participó en la coordinación de su divulgación.
la vulnerabilidad CVE-2024-1576 es una vulnerabilidad de inyección SQL en el software MegaBIP. Permite a un atacante obtener privilegios de administrador del sitio, incluido el acceso al panel de administración y la capacidad de cambiar la contraseña del administrador. Este problema afecta a las versiones del software MegaBIP hasta la 5.09.
la vulnerabilidad CVE-2024-1577 permite ejecutar código arbitrario en el servidor sin requerir autenticación guardando el código PHP creado por el atacante en uno de los archivos del sitio web. Este problema afecta a todas las versiones del software MegaBIP.
la vulnerabilidad CVE-2024-1659 permite a un atacante cargar cualquier archivo en el servidor (incluido un archivo de código PHP) sin autenticación. Este problema afecta a las versiones del software MegaBIP hasta la 5.10.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.