Vulnerabilidades en el software HyperView Geoportal Toolkit
Identificación CVE | CVE-2024-6449 |
Fecha de publicación | 28 de agosto de 2024 |
Proveedor | Hipervista |
Producto | Kit de herramientas para geoportales |
Versiones vulnerables | Todo a través de 8.2.4 |
Tipo de vulnerabilidad (CWE) | Política permisiva entre dominios con dominios no confiables (CWE-942) |
Fuente del informe | Informe al CERT Polonia |
Identificación CVE | CVE-2024-6450 |
Fecha de publicación | 28 de agosto de 2024 |
Proveedor | Hipervista |
Producto | Kit de herramientas para geoportales |
Versiones vulnerables | Todo a través de 8.2.4 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de la entrada durante la generación de páginas web (XSS o ‘Cross-site Scripting’) (CWE-79) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre dos vulnerabilidades en el software HyperView Geoportal Toolkit y participó en la coordinación de su divulgación.
El software no restringe las solicitudes entre dominios cuando se obtiene contenido remoto indicado por uno de los parámetros de solicitud GET. Un atacante remoto no autenticado puede preparar enlaces que, al abrirse, cargarán scripts desde una ubicación remota controlada por el atacante y los ejecutarán en el espacio del usuario. Al manipular este parámetro, también es posible enumerar algunos de los dispositivos en la red de área local en la que reside el servidor. Esta vulnerabilidad ha sido asignada CVE-2024-6449.
La vulnerabilidad CVE-2024-6450 Permite ataques de tipo Cross-Site Scripting (XSS) reflejados. Un atacante no autenticado podría engañar a alguien para que use una URL creada, lo que hará que se ejecute un script en el navegador del usuario.
Las versiones afectadas son todas hasta la 8.2.4.
Créditos
Agradecemos a Dariusz Gońda por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.