Dos companys de l’equip Red Team del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes, han detectat cinc vulnerabilitats en Arcont Àuria, un programari per a l’enregistrament, emmagatzematge i gestió de tota la informació generada en els tribunals judicials, desenvolupada per Fujitsu.
INCIBE, per la seua part, s’ha encarregat de coordinar la publicació d’aquestes bretxes de seguretat, que afectaven les versions d’aquest producte inferiors a la 1.5.0.0.
A aquestes cinc vulnerabilitats, s’han assignat els següents codis: puntuació base
- CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
- CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
- CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
- CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
- CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.
Per a conéixer els detalls, pots consultar ací la publicació de INCIBE.
Finalment, cal ressaltar, que aquestes vulnerabilitats han sigut solucionades per Fujitsu en la versió 1.5.0.0, publicada el 4/4/2022, i que totes les noves versions del producte, inclosa l’última 1.6.2.3, també inclou les correccions.