Vulnerabilidades en PimCore

19 de agosto de 2018 Gustavo Genez

Se han hecho públicas 3 vulnerabilidades en PimCore que podrían permitir extraer información de la base de datos y realizar ataques Cross-site Request Forgery y Cross-site Scripting. Una de ellas permanece sin corregir.

PimCore es una plataforma de software empresarial de código abierto que combina funcionalidades de gestión de información de productos y datos (PIM/MDM), gestión de activos digitales (DAM), gestión de la experiencia del usuario (CMS/UX), y comercio electrónico. Es utilizado por empresas como T-Mobile, Peugeot, Intersport o Carrefour.

Las vulnerabilidades son las siguientes:

* CVE-2018-14057: existen múltiples funciones en la aplicación que no cuentan con la protección de un token anti-CSRF. Esto podría permitir la realización de ataques Cross-site Request Forgery (CSRF) para, entre otras acciones, añadir, actualizar o eliminar entradas.

Algunas de las funciones vulnerables son las siguientes:

CVE-2018-14057 – Funciones vulnerables

* CVE-2018-14058: se han identificado múltiples fallos que podría permitir inyecciones SQL en la API REST. Un atacante que disponga de una clave válida de la API y con al menos permiso de “Activos”, “Documentos” u “Objetos” podría extraer información sensible de la base de datos.

A continuación se muestran algunas de las funciones vulnerables:

CVE-2018-14058 – Funciones vulnerables

* CVE-2018-14059: se han encontrado errores de falta de filtrado en múltiples campos de texto y entradas de datos por parte del usuario que podrían permitir a un atacante autenticado llevar a cabo ataques Cross-site Scripting (XSS) persistentes y, entre otras acciones, editar cuentas de usuario, tipos de documento, propiedades predefinidas, metadatos de activos predefinidos, valores de cantidad, rutas, miniaturas, clasificación de un item, etc.

Cabe destacar que la empresa desarrolladora ha declarado que no corregirá estos últimos errores (a pesar de la insistencia de los descubridores), al considerar que únicamente afectan a funcionalidades administrativas y se requieren permisos elevados para utilizarlas y por tanto estimar que se trata de un gasto adicional sin ningún beneficio para la seguridad.

Todas las vulnerabilidades anteriores han sido encontradas en PimCore 5.2.3. Se ha lanzado una nueva versión, la 5.3.0 que corrige los problemas de seguridad (excepto los identificados como CVE-2018-14059), y se encuentra disponible para su descarga desde la página oficial.

Juan José Ruiz
jruiz @ hispasec.com

Más información:

SQL Injection, XSS & CSRF vulnerabilities in Pimcore software:

https://www.sec-consult.com/en/blog/advisories/sql-injection-xss-csrf-vulnerabilities-in-pimcore-software/

Pimcore download:

https://pimcore.com/en/download

Comparte esto:

Gustavo Genez

También te puede gustar

Nuevo ransomware «VENUS» especializado en ataques por RDP está causando estragos por todo el mundo.

Ruinas Antiguas e Inteligencia Artificial: Cómo revivir el juego ‘Nine Men’s Morris’ (Juego del Molino) en Python con ChatGPT

Mensajes de WhatsApp suplantando a Cáritas y otras campañas de phishing que calientan motores de cara a la Semana Santa