Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en Resource Data Management

Vulnerabilidades en Resource Data Management

Fecha de publicación: 
23/09/2015
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de la aplicación Data Manager se ven afectadas:

  • Todas las versiones previas a la 2.2.
Descripción: 

Se han detectado dos vulnerabilidades en la aplicación Data Manager perteneciente a Resource Data Management. Las vulnerabilidades son:

  • Escalada de privilegio
  • Falsificación de petición en sitios cruzados (Cross-Site Request Forgery, CSRF)
Solución: 

Resource Data Management ha desarrollado una nueva versión de Data Manager (v 2.2) para corregir estas vulnerabilidades.

Detalle: 
  • Escalada de privilegios
  • Un usuario válido puede cambiar las contraseñas de otros usuarios, incluyendo la contraseña de administradores, este hecho le proporciona la posibilidad de incrementar sus privilegios dentro de la aplicación.
    Se ha reservado el identificador CVE-2015-6470 para esta vulnerabilidad.

  • Falsificación de petición en sitios cruzados (Cross-Site Request Forgery, CSRF)
  • Gracias a una URL o software previamente configurado a medida, un atacante puede ejecutar órdenes no deseadas por un usuario autenticado en la aplicación en contra de su voluntad.
    Se ha reservado el identificador CVE-2015-6468 para esta vulnerabilidad.

Ambas vulnerabilidades pueden ser explotadas de forma remota.