CVE-2023-2552

ALT: (8,8)

CVSS3: 7,7

Bumsys és vulnerable a falsificació d’ordres en llocs creuats causades per la validació incorrecta de l’entrada subministrada per l’usuari pel $moduli/ajax.php. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP malformada per realitzar accions no autoritzades. L’atacant podria explotar aquesta vulnerabilitat per realitzar atacs de seqüència d’ordres en llocs creuats, enverinament de la memòria cau del web i altres activitats malicioses.

Sistemes Afectats

• unilogies Bumsys 2.0.1

Remediació
Consulteu el repositori GIT de Bumsys per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://huntr.dev/bounties/ab0b4655-f57a-4113-849b-2237eeb75b32/
• https://github.com/unilogies/bumsys/commit/86e29dd23df348ec6075f0c0de8e06b8d9fb0a9a
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2552