CVE-2019-7400

Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado

Rukovoditel es una aplicación gratuita de gestión de proyectos de código abierto basada en web. Muy lejos de las aplicaciones tradicionales, Rukovoditel ofrece a los usuarios un enfoque más amplio y extenso de la gestión de proyectos. Sus opciones de personalización permiten a los usuarios crear entidades adicionales, modificar y especificar la relación entre ellas y generar los informes necesarios. La plataforma permite a los usuarios crear su propia aplicación que está específicamente diseñada para su actividad (CRM, ERP, HRM, WMS, etc.)

📅 Vulnerabilidad descubierta por Javier Olmedo el 24/01/2019

💣 Publicada el 24/03/2019

🐛 CVE-2019-7400

🔗 Link del software Rukovoditel

🐞 Versión vulnerable = 2.4.1 y posiblemente anteriores

✔️ Solución: Parcheada en la extensión de la version 2.4.1

Vector de ataque / Criticidad de la explotación

CRITICIDAD – ALTA

A través de las vulnerabilidades Cross Site Scripting Reflejadas (XSS), un atacante podría inyectar código javascript malicioso en el navegador de la víctima con el objetivo de robar información sensible, realizar acciones sin el consentimiento del usuario legítimo, secuestrar sesiones de usuario o, incluso, llegar a comprometer todo el sistema si la versión del navegador tiene otras vulnerabilidades críticas asociadas.

Parámetro vulnerable

El parámetro path, es vulnerable a ataques Cross-Site Scripting (XSS) Reflejados en el recurso index.php?module=items/items

Puede explotarse con el siguiente payload:

💉 ‘><img src=x onerror=alert(‘VULNERABLE’)>

Prueba de concepto (PoC)

Timeline

24/01/2018 Descubrimiento

24/01/2018 El desarrollador conoce la vulnerabilidad

04/02/2018 Solicitud CVE

05/02/2018 Asignación de CVE-2019-7400 por MITRE

24/03/2019 Publicación vulnerabilidad

Referencias

CVE-MITRE – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7400

Un saludo a todos!! 👋


Javier Olmedo

Consultor de Ciberseguridad e Investigador de Seguridad de Aplicaciones Web en mi tiempo libre, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

2 commentarios

Carlos G · domingo, 24 marzo, 2019 a las 12:38

No paras!! Otro CVE para la colección. Un placer tenerte de compañero 👏👏👏

Deja tu comentario