CVE-2019-7400
Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado
Rukovoditel es una aplicación gratuita de gestión de proyectos de código abierto basada en web. Muy lejos de las aplicaciones tradicionales, Rukovoditel ofrece a los usuarios un enfoque más amplio y extenso de la gestión de proyectos. Sus opciones de personalización permiten a los usuarios crear entidades adicionales, modificar y especificar la relación entre ellas y generar los informes necesarios. La plataforma permite a los usuarios crear su propia aplicación que está específicamente diseñada para su actividad (CRM, ERP, HRM, WMS, etc.)
📅 Vulnerabilidad descubierta por Javier Olmedo el 24/01/2019
💣 Publicada el 24/03/2019
🔗 Link del software Rukovoditel
🐞 Versión vulnerable = 2.4.1 y posiblemente anteriores
✔️ Solución: Parcheada en la extensión de la version 2.4.1
Vector de ataque / Criticidad de la explotación
CRITICIDAD – ALTA
A través de las vulnerabilidades Cross Site Scripting Reflejadas (XSS), un atacante podría inyectar código javascript malicioso en el navegador de la víctima con el objetivo de robar información sensible, realizar acciones sin el consentimiento del usuario legítimo, secuestrar sesiones de usuario o, incluso, llegar a comprometer todo el sistema si la versión del navegador tiene otras vulnerabilidades críticas asociadas.
Parámetro vulnerable
El parámetro path, es vulnerable a ataques Cross-Site Scripting (XSS) Reflejados en el recurso index.php?module=items/items
Puede explotarse con el siguiente payload:
💉 ‘><img src=x onerror=alert(‘VULNERABLE’)>
Prueba de concepto (PoC)
Timeline
24/01/2018 Descubrimiento
24/01/2018 El desarrollador conoce la vulnerabilidad
04/02/2018 Solicitud CVE
05/02/2018 Asignación de CVE-2019-7400 por MITRE
24/03/2019 Publicación vulnerabilidad
Referencias
CVE-MITRE – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7400
Un saludo a todos!! 👋
No paras!! Otro CVE para la colección. Un placer tenerte de compañero 👏👏👏
Gracias Carlos, el placer es mío!!