El contenido presenta una serie de vulnerabilidades identificadas en el software "Ikoris", desarrollado por Comedia Suave, todas reportadas el 14 de abril de 2025. Estas vulnerabilidades, categorizadas bajo el Common Weakness Enumeration (CWE), afectan a diversas versiones anteriores a 79.0 del producto.
Vulnerabilidades Identificadas
-
CVE-2024-10087: Esta vulnerabilidad permite ataques de scripting de sitios cruzados (XSS). Un atacante puede crear un enlace con un script malicioso que se ejecuta bajo el contexto del usuario a través de referencias a otros recursos.
-
CVE-2024-10088: Similar a la anterior, permite que un atacante engañe a un usuario para que complete un formulario de inicio de sesión con un script malicioso. Esto implica que el script se ejecutará en el contexto del usuario, comprometiendo su seguridad.
-
CVE-2024-10089: En este caso, se trata de un ataque XSS almacenado. Un atacante puede hacer que un usuario llene un formulario que modifica datos, incluyendo un script que se ejecuta en su contexto al ser almacenado.
-
CVE-2024-10090: Nuevamente, un ataque XSS que implica que un usuario complete un formulario malicioso para adicionar usuarios, resultando en la ejecución de un script malicioso.
-
CVE-2024-13597: Aquí, un atacante puede engañar a un usuario para que envíe un script desde el formulario de inicio de sesión, lo que permite que el código se ejecute bajo el contexto del usuario.
-
CVE-2024-13598: Utilizando la funcionalidad de crear nuevos campos en formularios, un atacante puede crear nuevos parámetros vulnerables. Un usuario que complete este formulario ejecutará el código malicioso.
-
CVE-2024-49705: Esta vulnerabilidad plantea riesgos de denegación de servicio (DoS). Un usuario podría ser engañado a utilizar una URL con un parámetro malicioso, causando que el servidor no acepte solicitudes, afectando el rendimiento general.
-
CVE-2024-49706: Afecta al sistema mediante redirecciones abiertas, permitiendo que un atacante incluya URLs codificadas en Base64 como parte de la solicitud, comprometiendo la seguridad.
-
CVE-2024-49707: Aquí se permiten ataques XSS mediante formularios diseñados para restablecer contraseñas, donde un script malicioso puede ser ejecutado en el contexto del usuario.
-
CVE-2024-49708: Esta vulnerabilidad permite que un script malicioso se ejecute cuando un usuario completa un formulario que establece direcciones de entrega, comprometiendo de nuevo su seguridad.
- CVE-2024-49709: Con esta vulnerabilidad, un atacante puede establecer un valor de cookie de sesión arbitraria. Esto se traduce en que un atacante puede secuestrar la cuenta del usuario al acceder a cookies del navegador, sin destruir sesiones viejas, lo que extiende el tiempo de vulnerabilidad.
Solución
Todas estas vulnerabilidades han sido arregladas en la versión 79.0 de Ikoris. Es crucial que los usuarios actualicen su software para mitigar los riesgos asociados a estas vulnerabilidades. El informe fue elaborado gracias a la colaboración con CERT Polska, que ha ejercido un papel importante en la coordinación de la divulgación responsable de vulnerabilidades.
Agradecimientos
El reconocimiento va hacia Paweł Zdunek del equipo de Afine, quien facilitó el informe de vulnerabilidad. Para más información sobre el proceso de divulgación de vulnerabilidades, se puede consultar CERT Polska.
En resumen, el software Ikoris tiene múltiples vulnerabilidades que requieren atención inmediata a través de actualizaciones, para garantizar la seguridad de los usuarios contra ataques que pueden comprometer datos sensibles y la integridad de sus sesiones.