Se han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software, reportadas por CAaNES (Computational Analysis and Network Enterprise Solutions). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario, saltarse restricciones de seguridad y obtener información sensible de usuarios.

 ProjecDox es un software de colaboración que permite a los miembros de un equipo de trabajo acceder a un sitio centralizado, para encontrar la última información y los cambios realizados a un proyecto. Esta herramienta ofrece servicios como compartir archivos, cambiar notificaciones, foros de discusión, solicitudes de información, historial y seguimiento de proyectos y colaboración.

Detalle e Impacto potencial de las vulnerabilidades  descubiertas

  1. La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript malicioso en el navegador del usuario.
  2. La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no autorizado a información sensible de otros usuarios mediante la inspección de “tokens” de acceso.
  3. La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a información sensible de otros usuarios aprovechándose de determinados errores al cifrar identificadores de datos en múltiples localizaciones.
  4. Por último, tenemos el CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario determinado está registrado en la plataforma, información que podría luego ser utilizada para futuros ataques.
  • Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones superiores.

Más información:

Fuente: Hispasec