Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el portal web de OpenClinic GA

Múltiples vulnerabilidades en el portal web de OpenClinic GA

Fecha de publicación: 
14/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 

OpenClinic GA, versión 5.173.3.

Descripción: 

Yuri Kramarz, investigador de Cisco Talos, ha reportado múltiples vulnerabilidades de inyección SQL, inyección de comandos y escalada de privilegios, que afectan al portal web de OpenClinic GA, siendo sus severidades 1 crítica, 1 alta y el resto medias.

Solución: 

Actualizar OpenClinic GA a una versión posterior a 5.173.3.

Detalle: 
  • Solicitudes web, especialmente diseñadas, podrían provocar que se ejecutasen comandos en el servidor debido a una vulnerabilidad de inyección de comandos. Un atacante, no autenticado, podría aprovecharla para realizar una exfiltración de la base de datos, las credenciales de usuario y comprometer el sistema operativo subyacente. Se ha asignado el identificador CVE-2020-27227 para esta vulnerabilidad crítica.
  • Sobrescribir el binario podría resultar en una escalada de privilegios debido a una vulnerabilidad de permisos por defecto incorrectos en la funcionalidad de instalación. Un atacante podría reemplazar un archivo para explotar esta vulnerabilidad. Se ha asignado el identificador CVE-2020-27228 para esta vulnerabilidad alta.

Para el resto de vulnerabilidades con severidad media se han asignado los identificadores: CVE-2020-27226, CVE-2020-27229, CVE-2020-27230, CVE-2020-27231, CVE-2020-27232, CVE-2020-27233, CVE-2020-27234, CVE-2020-27235, CVE-2020-27236, CVE-2020-27237, CVE-2020-27238, CVE-2020-27239, CVE-2020-27240, CVE-2020-27241, CVE-2020-27242, CVE-2020-27243, CVE-2020-27244, CVE-2020-27245 y CVE-2020-27246.

Encuesta valoración