Se
han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software,
reportadas por CAaNES (Computational Analysis and Network Enterprise
Solutions). Estas vulnerabilidades permitirían
a un atacante remoto ejecutar código arbitrario, saltarse restricciones de
seguridad y obtener información sensible de usuarios.
ProjecDox es un software de
colaboración que permite a los miembros de un equipo de trabajo acceder a un
sitio centralizado, para encontrar la última información y los cambios
realizados a un proyecto. Esta herramienta ofrece servicios como compartir
archivos, cambiar notificaciones, foros de discusión, solicitudes de
información, historial y seguimiento de proyectos y colaboración.
La primera vulnerabilidad, con
identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de
una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript
malicioso en el navegador del usuario.
La siguiente vulnerabilidad, con
CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no
autorizado a información sensible de otros usuarios mediante la inspección de "tokens" de acceso.
La tercera vulnerabilidad, con
CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a
información sensible de otros usuarios aprovechándose de determinados errores
al cifrar identificadores de datos en múltiples localizaciones.
Por último, tenemos el
CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario
determinado está registrado en la plataforma, información que podría luego ser
utilizada para futuros ataques.
Esta vulnerabilidad se ha
reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna
solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones
superiores.
Más información:
ProjectDox
Avolve Software ProjectDox Multiple
Vulnerability Disclosure
Juan Sánchez
No hay comentarios:
Publicar un comentario