Se
han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software,
reportadas por CAaNES (Computational Analysis and Network Enterprise
Solutions). Estas vulnerabilidades permitirían a un atacante remoto ejecutar
código arbitrario, saltarse restricciones de seguridad y obtener información
sensible de usuarios.
ProjecDox es un software de colaboración que
permite a los miembros de un equipo de trabajo acceder a un sitio centralizado,
para encontrar la última información y los cambios realizados a un proyecto.
Esta herramienta ofrece servicios como compartir archivos, cambiar
notificaciones, foros de discusión, solicitudes de información, historial y
seguimiento de proyectos y colaboración.
Detalle e Impacto potencial de las
vulnerabilidades descubiertas
- La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript malicioso en el navegador del usuario.
- La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no autorizado a información sensible de otros usuarios mediante la inspección de "tokens" de acceso.
- La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a información sensible de otros usuarios aprovechándose de determinados errores al cifrar identificadores de datos en múltiples localizaciones.
- Por último, tenemos el CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario determinado está registrado en la plataforma, información que podría luego ser utilizada para futuros ataques.
- Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones superiores.
- ProjectDox http://www.avolvesoftware.com/
- Avolve Software ProjectDox Multiple Vulnerability Disclosure http://archives.neohapsis.com/archives/bugtraq/2014-09/0045.html