Skip to main content

Vulnerabilidades en el software EZD RP

agosto 11, 2024


Identificación CVE CVE-2024-7265
Fecha de publicación 07 de agosto de 2024
Proveedor Red Informática Científica y Académica – Instituto Nacional de Investigaciones
Producto EZDPR
Versiones vulnerables De 15 a 15.84, de 16 a 16.15, de 17 a 17.2
Tipo de vulnerabilidad (CWE) Gestión de usuarios incorrecta (CWE-286)
Fuente del informe Investigación propia de NASK
Identificación CVE CVE-2024-7266
Fecha de publicación 07 de agosto de 2024
Proveedor Red Informática Científica y Académica – Instituto Nacional de Investigaciones
Producto EZDPR
Versiones vulnerables De 15 a 15.84, de 16 a 16.15, de 17 a 17.2
Tipo de vulnerabilidad (CWE) Gestión de usuarios incorrecta (CWE-286)
Fuente del informe Investigación propia de NASK
Identificación CVE CVE-2024-7267
Fecha de publicación 07 de agosto de 2024
Proveedor Red Informática Científica y Académica – Instituto Nacional de Investigaciones
Producto EZDPR
Versiones vulnerables Todo antes de 19.6
Tipo de vulnerabilidad (CWE) Exposición de información confidencial debido a políticas incompatibles (CWE-213)
Fuente del informe Investigación propia de NASK

Descripción

CERT Polska ha recibido un informe sobre vulnerabilidades en el software EZD RP desarrollado por NASK – PIB y participó en la coordinación de su divulgación.

La vulnerabilidad CVE-2024-7265 permite que un usuario conectado cambie la contraseña de cualquier usuario, incluido el usuario root, lo que podría provocar una escalada de privilegios. La vulnerabilidad CVE-2024-7266 permite que el usuario conectado enumere a todos los usuarios del sistema, incluidos los de otras organizaciones. Estos problemas afectan a EZD RP: desde la versión 15 hasta la 15.84, desde la versión 16 hasta la 16.15, desde la versión 17 hasta la 17.2.

La vulnerabilidad CVE-2024-7267 Permite que el usuario que haya iniciado sesión recupere información sobre la infraestructura de IP y las credenciales. Este problema afecta a EZD RP en todas las versiones anteriores a la 19.6.

Créditos

Agradecemos a Jakub Płatek (NASK-PIB) por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.



Source link

Translate »