Vulnerabilidades en el software EZD RP
Identificación CVE | CVE-2024-7265 |
Fecha de publicación | 07 de agosto de 2024 |
Proveedor | Red Informática Científica y Académica – Instituto Nacional de Investigaciones |
Producto | EZDPR |
Versiones vulnerables | De 15 a 15.84, de 16 a 16.15, de 17 a 17.2 |
Tipo de vulnerabilidad (CWE) | Gestión de usuarios incorrecta (CWE-286) |
Fuente del informe | Investigación propia de NASK |
Identificación CVE | CVE-2024-7266 |
Fecha de publicación | 07 de agosto de 2024 |
Proveedor | Red Informática Científica y Académica – Instituto Nacional de Investigaciones |
Producto | EZDPR |
Versiones vulnerables | De 15 a 15.84, de 16 a 16.15, de 17 a 17.2 |
Tipo de vulnerabilidad (CWE) | Gestión de usuarios incorrecta (CWE-286) |
Fuente del informe | Investigación propia de NASK |
Identificación CVE | CVE-2024-7267 |
Fecha de publicación | 07 de agosto de 2024 |
Proveedor | Red Informática Científica y Académica – Instituto Nacional de Investigaciones |
Producto | EZDPR |
Versiones vulnerables | Todo antes de 19.6 |
Tipo de vulnerabilidad (CWE) | Exposición de información confidencial debido a políticas incompatibles (CWE-213) |
Fuente del informe | Investigación propia de NASK |
Descripción
CERT Polska ha recibido un informe sobre vulnerabilidades en el software EZD RP desarrollado por NASK – PIB y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2024-7265 permite que un usuario conectado cambie la contraseña de cualquier usuario, incluido el usuario root, lo que podría provocar una escalada de privilegios. La vulnerabilidad CVE-2024-7266 permite que el usuario conectado enumere a todos los usuarios del sistema, incluidos los de otras organizaciones. Estos problemas afectan a EZD RP: desde la versión 15 hasta la 15.84, desde la versión 16 hasta la 16.15, desde la versión 17 hasta la 17.2.
La vulnerabilidad CVE-2024-7267 Permite que el usuario que haya iniciado sesión recupere información sobre la infraestructura de IP y las credenciales. Este problema afecta a EZD RP en todas las versiones anteriores a la 19.6.
Créditos
Agradecemos a Jakub Płatek (NASK-PIB) por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.