Vulnerabilidades en el software CMS Concept Intermedia S@M
ID CVE | CVE-2024-3800 |
Fecha de publicación | 28 de junio de 2024 |
Proveedor | Concepto Intermedio |
Producto | Sistema de gestión de contenidos S@M |
Versiones vulnerables | Todo hasta 3.3 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) (CWE-79) |
Fuente del informe | Investigación propia |
Identificación CVE | CVE-2024-3801 |
Fecha de publicación | 28 de junio de 2024 |
Proveedor | Concepto Intermedio |
Producto | S@M CMS |
Versiones vulnerables | Todo hasta 3.3 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’) (CWE-79) |
Fuente del informe | Investigación propia |
Identificación CVE | CVE-2024-3816 |
Fecha de publicación | 28 de junio de 2024 |
Proveedor | Concepto intermedio |
Producto | S@M CMS |
Versiones vulnerables | Todo hasta 3.3 |
Tipo de vulnerabilidad (CWE) | Neutralización inadecuada de elementos especiales utilizados en un comando SQL («Inyección SQL») (CWE-89) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska ha encontrado tres vulnerabilidades en Concept Intermedia S@M CMS software y participó en la coordinación de su divulgación.
Las vulnerabilidades CVE-2024-3800 y CVE-2024-3801 permitir la realización de ataques de secuencias de comandos entre sitios reflejados (XSS) mediante sitios administrados en S@M CMS (Concept Intermedia) mediante la inclusión de secuencias de comandos en los nombres de archivos solicitados y en uno de los parámetros del encabezado GET, respectivamente.
La vulnerabilidad CVE-2024-3816 Permite ataques de inyección SQL ciega cuando un usuario no autenticado utiliza una barra de búsqueda.
Vulnerables son todas las versiones hasta la 3.3. Sólo una parte de los servicios observados es vulnerable, lo que podría indicar que el problema está relacionado con algunos de los módulos y no con la parte central del software S@M CMS, pero dado que el proveedor no ha proporcionado ningún detalle sobre los resultados de su investigación, es Es difícil determinar en qué casos existen las debilidades.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.