Introducció
Neil Graves, Jorian van den Hout, y Malcolm Stagg han reportat al CISA[1] múltiples vulnerabilitats, a l’aplicació web de Iagona ScrutisWeb que podria permetre que un usuari no autenticat accedeixi directament a qualsevol arxiu fora de webroot, veure la informació del perfil, inclosos els noms d’inici de sessió dels usuaris i les contrasenyes xifrades, encriptar i desencriptar contrasenyes a text pla i fins i tot carregar fitxers maliciosos i executar-los.
Anàlisi
La vulnerabilitat de severitat crítica afecta la versió 2.1.37 i anteriors de ScrutisWeb i se li ha assignat el següent identificador.
- CVE-2023-35189: Vulnerabilitat d’execució remota de codi que podria permetre que un usuari no autenticat carregui un fitxer maliciós i l’executi. Té una puntuació de 10.0 a CVSS v3
Recomanacions
El fabricant, Iagona, recomana als usuaris que actualitzin a la versió 2.1.38.
Referències
[1] ICSA-23-199-03 – Iagona ScrutisWeb