Skip to main content

Vulnerabilidades en el software CemiPark | CERT Polonia

mayo 22, 2024


ID CVE CVE-2024-4423
Fecha de publicación 09 mayo 2024
Proveedor CEMI Tomasz Pawełek
Producto Parque Cemi
Versiones vulnerables 4.5, 4.7, 5.03 y potencialmente otros
Tipo de vulnerabilidad (CWE) Neutralización inadecuada de elementos especiales utilizados en un comando SQL («Inyección SQL») (CWE-89)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2024-4424
Fecha de publicación 09 mayo 2024
Proveedor CEMI Tomasz Pawełek
Producto Parque Cemi
Versiones vulnerables 4.5, 4.7, 5.03 y potencialmente otros
Tipo de vulnerabilidad (CWE) Neutralización inadecuada de la entrada durante la generación de la página web («Cross-site Scripting») (CWE-79)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2024-4425
Fecha de publicación 09 mayo 2024
Proveedor CEMI Tomasz Pawełek
Producto Parque Cemi
Versiones vulnerables 4.5, 4.7, 5.03 y potencialmente otros
Tipo de vulnerabilidad (CWE) Almacenamiento en texto plano de una contraseña (CWE-256)
Fuente del informe Informe al CERT Polonia

Descripción

CERT Polska recibió un informe sobre vulnerabilidades en el software CemiPark y participó en la coordinación de su divulgación.

la vulnerabilidad CVE-2024-4423 permite omitir la autenticación debido a una validación inadecuada de los datos ingresados ​​por el usuario. Un atacante que tenga acceso de red al panel de inicio de sesión puede iniciar sesión con derechos de administrador en la aplicación.

la vulnerabilidad CVE-2024-4424 permite el ataque de secuencias de comandos entre sitios (XSS) almacenado. El módulo de control de acceso no valida adecuadamente los datos ingresados ​​por el usuario. Los parámetros utilizados para ingresar datos al sistema no cuentan con la validación adecuada, lo que hace posible el contrabando de código HTML/JavaScript. Este código se ejecutará en el espacio del navegador del usuario.

la vulnerabilidad CVE-2024-4425 Se trata de almacenar credenciales de otros servicios, como FTP o SIP, en texto sin formato. Un atacante que obtuvo acceso no autorizado al dispositivo puede recuperar contraseñas de texto sin cifrar.

Estos problemas afectan al software CemiPark: 4.5, 4.7, 5.03 (que fueron probados por el buscador) y potencialmente otros. El vendedor se negó a proporcionar la gama específica de productos afectados.

Créditos

Agradecemos a Dariusz Gońda por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Translate »