Se han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software, reportadas por CAaNES (Computational Analysis and Network Enterprise Solutions). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario, saltarse restricciones de seguridad y obtener información sensible de usuarios.
ProjecDox es un software de colaboración que permite a los miembros de un equipo de trabajo acceder a un sitio centralizado, para encontrar la última información y los cambios realizados a un proyecto. Esta herramienta ofrece servicios como compartir archivos, cambiar notificaciones, foros de discusión, solicitudes de información, historial y seguimiento de proyectos y colaboración.
La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript malicioso en el navegador del usuario.
La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no autorizado a información sensible de otros usuarios mediante la inspección de «tokens» de acceso.
La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a información sensible de otros usuarios aprovechándose de determinados errores al cifrar identificadores de datos en múltiples localizaciones.
Por último, tenemos el CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario determinado está registrado en la plataforma, información que podría luego ser utilizada para futuros ataques.
Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones superiores.
Más información:
ProjectDox
Avolve Software ProjectDox Multiple Vulnerability Disclosure
Juan Sánchez
Deja una respuesta