Vulnerabilidades descubiertas en ProjectDox

---

Se han descubierto cuatro vulnerabilidades en ProjectDox de Avolve

Software, reportadas por CAaNES (Computational Analysis and Network

Enterprise Solutions). Estas vulnerabilidades permitirían a un atacante

remoto ejecutar código arbitrario, saltarse restricciones de seguridad y

obtener información sensible de usuarios.



ProjecDox es un software de colaboración que permite a los miembros de

un equipo de trabajo acceder a un sitio centralizado, para encontrar

la última información y los cambios realizados a un proyecto. Esta

herramienta ofrece servicios como compartir archivos, cambiar

notificaciones, foros de discusión, solicitudes de información,

historial y seguimiento de proyectos y colaboración.



La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual

un atacante remoto aprovechándose de una vulnerabilidad Cross-site

scripting (XSS) podría ejecutar código JavaScript malicioso en el

navegador del usuario.



La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un

atacante remoto conseguir acceso no autorizado a información sensible de

otros usuarios mediante la inspección de "tokens" de acceso.



La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante

remoto, podría también tener acceso a información sensible de otros

usuarios aprovechándose de determinados errores al cifrar

identificadores de datos en múltiples localizaciones.



Por último, tenemos el CVE-2014-5132, en el que un atacante remoto

podría comprobar si un usuario determinado está registrado en la

plataforma, información que podría luego ser utilizada para futuros

ataques.



Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A

fecha de hoy no existe ninguna solución oficial a estas

vulnerabilidades, se recomienda actualizar a versiones superiores.



Ver mas informacion al respecto en Fuente:

http://unaaldia.hispasec.com/2014/09/vulnerabilidades-descubiertas-en.html#comments





saludos

ms, 16-9-2014