Skip to main content

Vulnerabilidades en el software HyperView Geoportal Toolkit

agosto 30, 2024


Identificación CVE CVE-2024-6449
Fecha de publicación 28 de agosto de 2024
Proveedor Hipervista
Producto Kit de herramientas para geoportales
Versiones vulnerables Todo a través de 8.2.4
Tipo de vulnerabilidad (CWE) Política permisiva entre dominios con dominios no confiables (CWE-942)
Fuente del informe Informe al CERT Polonia
Identificación CVE CVE-2024-6450
Fecha de publicación 28 de agosto de 2024
Proveedor Hipervista
Producto Kit de herramientas para geoportales
Versiones vulnerables Todo a través de 8.2.4
Tipo de vulnerabilidad (CWE) Neutralización incorrecta de la entrada durante la generación de páginas web (XSS o ‘Cross-site Scripting’) (CWE-79)
Fuente del informe Informe al CERT Polonia

Descripción

CERT Polska recibió un informe sobre dos vulnerabilidades en el software HyperView Geoportal Toolkit y participó en la coordinación de su divulgación.

El software no restringe las solicitudes entre dominios cuando se obtiene contenido remoto indicado por uno de los parámetros de solicitud GET. Un atacante remoto no autenticado puede preparar enlaces que, al abrirse, cargarán scripts desde una ubicación remota controlada por el atacante y los ejecutarán en el espacio del usuario. Al manipular este parámetro, también es posible enumerar algunos de los dispositivos en la red de área local en la que reside el servidor. Esta vulnerabilidad ha sido asignada CVE-2024-6449.

La vulnerabilidad CVE-2024-6450 Permite ataques de tipo Cross-Site Scripting (XSS) reflejados. Un atacante no autenticado podría engañar a alguien para que use una URL creada, lo que hará que se ejecute un script en el navegador del usuario.

Las versiones afectadas son todas hasta la 8.2.4.

Créditos

Agradecemos a Dariusz Gońda por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.



Source link

Translate »