9 bug su 3 prodotti Open Source risolti in 1gg dalle rispettive community.

Dei ricercatori di sicurezza informatica martedì hanno rivelato nove vulnerabilità di sicurezza che interessano tre progetti open source, quali EspoCRM, Pimcore e Akaunting.

Si tratta di applicazioni ampiamente utilizzate da diverse piccole e medie imprese, che se sfruttate con successo, potrebbero fornire un percorso valido verso attacchi più sofisticati.

Tutti i difetti di sicurezza in questione, che hanno un impatto su EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 e Akaunting v2.1.12, sono stati corretti dopo un giorno dalla divulgazione responsabile.

I bug sono stati isolato dal ricercatore Trevor Wiktor Sędkowski di Nokia e dal progetto Akaunting, come riportato da Rapid7.

L’elenco dei problemi è il seguente:

• CVE-2021-3539 (CVSS score: 6.3) – Persistent XSS flaw in EspoCRM v6.1.6
• CVE-2021-31867 (CVSS score: 6.5) – SQL injection in Pimcore Customer Data Framework v3.0.0
• CVE-2021-31869 (CVSS score: 6.5) – Pimcore AdminBundle v6.8.0
• CVE-2021-36800 (CVSS score: 8.7) – OS command injection in Akaunting v2.1.12
• CVE-2021-36801 (CVSS score: 8.5) – Authentication bypass in Akaunting v2.1.12
• CVE-2021-36802 (CVSS score: 6.5) – Denial-of-service via user-controlled ‘locale’ variable in Akaunting v2.1.12
• CVE-2021-36803 (CVSS score: 6.3) – Persistent XSS during avatar upload in Akaunting v2.1.12
• CVE-2021-36804 (CVSS score: 5.4) – Weak Password Reset in Akaunting v2.1.12
• CVE-2021-36805 (CVSS score: 5.2) – Invoice footer persistent XSS in Akaunting v2.1.12

Il successo dello sfruttamento di questi difetti potrebbe portare un malintenzionato autenticato di eseguire codice JavaScript arbitrario, accedere al sistema operativo sottostante e utilizzarlo come testa di ponte per lanciare ulteriori attacchi.

Una buona news è sicuramente il tempo di reazione di queste tre community open source, che in un solo giorno hanno prodotto e rilasciato la fix per i rispettivi bug, cosa molto rara da osservare per chi si occupa di bug hunting o Vulnerability disclosure.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks