Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

9 bug su 3 prodotti Open Source risolti in 1gg dalle rispettive community.

Dei ricercatori di sicurezza informatica martedì hanno rivelato nove vulnerabilità di sicurezza che interessano tre progetti open source, quali EspoCRM, Pimcore e Akaunting.

Si tratta di applicazioni ampiamente utilizzate da diverse piccole e medie imprese, che se sfruttate con successo, potrebbero fornire un percorso valido verso attacchi più sofisticati.

Tutti i difetti di sicurezza in questione, che hanno un impatto su EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 e Akaunting v2.1.12, sono stati corretti dopo un giorno dalla divulgazione responsabile.

Iscriviti alla newsletter di RHC per rimanere sempre aggiornato

I bug sono stati isolato dal ricercatore Trevor Wiktor Sędkowski di Nokia e dal progetto Akaunting, come riportato da Rapid7.

L’elenco dei problemi è il seguente:

  • CVE-2021-3539 (CVSS score: 6.3) – Persistent XSS flaw in EspoCRM v6.1.6
  • CVE-2021-31867 (CVSS score: 6.5) – SQL injection in Pimcore Customer Data Framework v3.0.0
  • CVE-2021-31869 (CVSS score: 6.5) – Pimcore AdminBundle v6.8.0
  • CVE-2021-36800 (CVSS score: 8.7) – OS command injection in Akaunting v2.1.12
  • CVE-2021-36801 (CVSS score: 8.5) – Authentication bypass in Akaunting v2.1.12
  • CVE-2021-36802 (CVSS score: 6.5) – Denial-of-service via user-controlled ‘locale’ variable in Akaunting v2.1.12
  • CVE-2021-36803 (CVSS score: 6.3) – Persistent XSS during avatar upload in Akaunting v2.1.12
  • CVE-2021-36804 (CVSS score: 5.4) – Weak Password Reset in Akaunting v2.1.12
  • CVE-2021-36805 (CVSS score: 5.2) – Invoice footer persistent XSS in Akaunting v2.1.12

Il successo dello sfruttamento di questi difetti potrebbe portare un malintenzionato autenticato di eseguire codice JavaScript arbitrario, accedere al sistema operativo sottostante e utilizzarlo come testa di ponte per lanciare ulteriori attacchi.

Una buona news è sicuramente il tempo di reazione di queste tre community open source, che in un solo giorno hanno prodotto e rilasciato la fix per i rispettivi bug, cosa molto rara da osservare per chi si occupa di bug hunting o Vulnerability disclosure.