Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en SoftCMS de Moxa

Múltiples vulnerabilidades en SoftCMS de Moxa

Fecha de publicación: 
18/11/2016
Importancia: 
5 - Crítica
Recursos afectados: 
  • SoftCMS versiones anteriores a la versión 1.6
Descripción: 

El investigador Zhou Yu, trabajando con el equipo Zero Day Initiative de Trend Micro, y Gu Ziqiang de Huawei Weiran Labs and identificado varias vulnerabilidades que afectan a la aplicación servidor web SoftCMS de Moxa.

Solución: 

La mitigación propuesta por Moxa consiste en actualizar la aplicación a la versión 1.6, que está disponible para descargar en la web de Moxa.

Detalle: 

Las vulnerabilidades detectadas son:

  • Validación de datos inadecuada: El producto afectado no realiza una validación de los datos adecuada. Un atacante remoto podría proporcionar valores no esperados y causar que el programa falle o consuma recursos excesivos que podrían resultar en una denegación de servicio. Se ha reservado el identificador CVE-2016-9332 para esta vulnerabilidad.
  • Repetición de liberación de espacio: Una petición URL especialmente preparada enviada al servidor Web SoftCMS ASP puede causar una condición de doble liberación del mismo espacio de memoria en el servidor, permitiendo a un atacante remoto modificar localizaciones de memoria y posibilitar una denegación de servicio o la ejecución de código arbitrario. Se ha reservado el identificador CVE-2016-8360 para esta vulnerabilidad.
  • Inyección SQL: El producto afectado no realiza un tratamiento adecuado las entradas y puede proporcionar a un atacante remoto acceso con privilegios de administador a través de una entrada especialmente preparada. Se ha reservado el identificador CVE-2016-9333 para esta vulnerabilidad.