Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w module Internet Starter systemu SoftCOM iKSORIS i koordynował proces ujawniania informacji.
Podatność CVE-2024-10087: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może przygotować link zawierający złośliwy skrypt, który zostaje bezpośrednio osadzony w odwołaniach do innych zasobów, co powoduje wielokrotne uruchamianie skryptu w kontekście użytkownika.
Podatność CVE-2024-10088: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza logowania danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-10089: moduł Internet Starter jest podatny na ataki typu Stored XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza zmiany danych użytkownika danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-10090: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza dodawania użytkowników danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-13597: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza wysłanego do panelu logowania pod adresem /softcom/ danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-13598: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Wykorzystując funkcję tworzenia nowych pól formularzy, tworzone są nowe parametry podatne na ataki XSS. Użytkownik nakłoniony do wypełnienia takiego formularza złośliwym skryptem uruchomi go w swoim kontekście.
Podatność CVE-2024-49705: moduł Internet Starter jest podatny na ataki typu Denial of Service (DoS) po stronie klienta. Atakujący może nakłonić użytkownika do skorzystania z URL zawierającego parametr d ustawiony na nieobsługiwaną wartość. Wszystkie kolejne żądania nie będą akceptowane, ponieważ serwer zwraca komunikat o błędzie. Ponieważ parametr ten jest wysyłany jako część ciasteczka sesyjnego, problem utrzymuje się do czasu wygaśnięcia sesji lub manualnego usunięcia ciasteczek przez użytkownika. Podobny efekt może zostać osiągnięty, gdy użytkownik spróbuje zmienić język platformy na niezaimplementowany.
Podatność CVE-2024-49706: moduł Internet Starter jest podatny na ataki typu Open Redirect poprzez uwzględnienie adresów URL zakodowanych w base64 w parametrze target przesyłanym w żądaniu POST do jednego z endpointów.
Podatność CVE-2024-49707: moduł Internet Starter jest podatny na ataki typu Reflected XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza resetowania hasła danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-49708: moduł Internet Starter jest podatny na ataki typu Stored XSS (Cross-site Scripting). Atakujący może nakłonić użytkownika do wypełnienia formularza ustawiania adresu dostawy danymi zawierającymi złośliwy skrypt, co skutkuje jego uruchomieniem w kontekście użytkownika.
Podatność CVE-2024-49709: moduł Internet Starter umożliwia ustawienie dowolnej wartości ciasteczka sesyjnego. Atakujący z dostępem do przeglądarki użytkownika może ustawić takie ciasteczko, poczekać aż użytkownik się zaloguje, a następnie użyć tego samego ciasteczka, by przejąć konto. Co więcej, system nie unieważnia starych sesji podczas tworzenia nowych, co wydłuża okno czasowe, w którym atak może zostać przeprowadzony.
Wszystkie podatności usunięte zostały w wersji 79.0 oprogramowania.
Podziękowania
Za zgłoszenie podatności dziękujemy Pawłowi Zdunkowi (Afine Team).
