Vulnerabilidades en el software HyperView Geoportal Toolkit

On August 28, 2024, CERT Polska published details regarding two significant vulnerabilities identified in the HyperView Geoportal Toolkit software, provided by Hipervista. Both vulnerabilities affect versions prior to 8.5.0 and have been reported with the following CVE identifiers: CVE-2024-6449 and CVE-2024-6450.

CVE-2024-6449 is categorized under the Common Weakness Enumeration (CWE) as a “permissive policy between domains with untrusted domains” (CWE-942). The vulnerability arises from the software’s failure to restrict cross-domain requests when retrieving remote content specified by a GET request parameter. This oversight allows an unauthenticated remote attacker to create malicious links that, when clicked, load and execute scripts from a remote server controlled by the attacker within the user’s context. Additionally, the attacker can manipulate the GET parameter to potentially enumerate devices on the local area network where the server resides.

The second vulnerability, CVE-2024-6450, is classified as inadequate input neutralization during web page generation, also known as Cross-Site Scripting (XSS) (CWE-79). In this scenario, an unauthenticated attacker could trick a user into clicking on a manipulated URL, resulting in the execution of scripts within the user’s browser. This type of vulnerability can be exploited to perform various malicious actions, including data theft or unauthorized access to sensitive information.

Both vulnerabilities raise significant security concerns, particularly because all affected versions of the HyperView Geoportal Toolkit prior to 8.5.0 remain susceptible to these attacks. The vulnerabilities highlight the importance of implementing robust security measures to mitigate risks associated with cross-domain requests and to ensure proper validation of user inputs to prevent XSS attacks.

CERT Polska expressed gratitude to Dariusz Gońda for responsibly reporting the vulnerabilities, underscoring the role of coordinated disclosure in improving software security. For further details regarding the coordinated vulnerability disclosure process, additional resources are available on the CERT Polska website.

Organizations using the HyperView Geoportal Toolkit are strongly advised to update to version 8.5.0 or later promptly to protect against these vulnerabilities and enhance the overall security posture of their systems.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Anuario de seguridad cibernética: el número de incidentes con influencia aumentó dos veces en un año

El reporte anual de seguridad cibernética en Estonia resalta la creciente amenaza del fraude y el ciberdelito en el país. En un año, se registraron

...
Más detalle de la noticia

Aviso de seguridad de Ubuntu (AV25-053) – Centro canadiense de seguridad cibernética

Entre el 27 de enero y el 2 de febrero de 2025, Ubuntu emitió varios avisos de seguridad para abordar importantes vulnerabilidades en el núcleo

...
Más detalle de la noticia

Boletín de noticias CERTFR-2025-ACT-005 (03 de febrero de 2025)

Este boletín de noticias del CERT-FR destaca las vulnerabilidades más significativas de la semana pasada, subrayando su importancia crítica. El objetivo del boletín no es

...
Más detalle de la noticia

Ubuntu Linux Kernel Vulnerabilidades múltiples

Se han detectado múltiples vulnerabilidades en el kernel de Ubuntu Linux que representan serios riesgos de seguridad. Estas vulnerabilidades pueden ser utilizadas por un atacante

...
Más detalle de la noticia

ALERTA DE SEGURIDAD (A25-02-01): Vulnerabilidad en Google Chrome

Resumen de Actualización de Seguridad de Google Chrome Google ha lanzado una nueva actualización de seguridad para su navegador Google Chrome, destinada a corregir una

...
Más detalle de la noticia

Sistema de boletos de soporte de WooCommerce: autorización faltante a la eliminación arbitraria y la exposición de información autenticada (suscriptor+)

Resumen de Vulnerabilidad en el Complemento de WooCommerce para WordPress La vulnerabilidad crítica identificada como CVE-2024-13775 afecta al complemento de sistema de tickets de soporte

...
Más detalle de la noticia

¿Qué significa construir en seguridad desde cero? • el registro

En el contexto de la aplicación de un enfoque de sistemas en la seguridad, tanto Bruce Davie como yo nos cuestionamos sobre la singularidad de

...
Más detalle de la noticia

SUSE LINUX KERNEL Vulnerabilidades múltiples

Se han identificado varias vulnerabilidades significativas en el kernel de SUSE Linux, que podrían ser explotadas por atacantes remotos. A continuación, se detallan las implicaciones

...
Más detalle de la noticia

Meta confirma el ataque de spyware de whatsapp cero que se dirige a 90 periodistas, activistas

WhatsApp, propiedad de Meta, anunció el viernes que ha interrumpido una campaña de ciberataques que utilizó spyware para targetear a periodistas y miembros de la

...
Más detalle de la noticia

WordPress Plugin WP Hotel Booking – Autorización faltante

Clasificación: IMPORTANTE Solución: Solución oficial Vencimiento de exploit: No definido CVSSV3.1: 5.3 CVE: CVE-2024-12370 Resumen: Recientemente se ha identificado una vulnerabilidad en el complemento de

...
Más detalle de la noticia

How cyberattackers exploit group policies

Group policies in Windows serve as a centralized management tool for administrators to control user and computer settings within a domain. Despite their utility, these

...
Más detalle de la noticia

Vulnerabilidades múltiples en el núcleo de Linux de Susa

Se han identificado varias vulnerabilidades críticas en el núcleo de Linux de Suse, que pueden ser aprovechadas por atacantes malintencionados. Las vulnerabilidades permiten diferentes tipos

...
Más detalle de la noticia

Prueba de penetración

Cómo Aprovechar al Máximo las Pruebas de Penetración Las pruebas de penetración, conocidas como pentesting, son simulaciones de ataques cibernéticos realizadas para identificar vulnerabilidades en

...
Más detalle de la noticia

La carta semanal de CERT-SE V.5-CERT-SE

La semana del 31 de enero de 2025 ha traído consigo una serie de noticias y desarrollos significativos en el ámbito de la ciberseguridad, con

...
Más detalle de la noticia

Contec Health CMS8000 Monitor de pacientes

Resumen Ejecutivo El informe trata sobre varias vulnerabilidades críticas en los Monitores de Pacientes CMS8000 de Contec Health, con una puntuación CVSS de 9.3, indicando

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita