Vulnerabilidad Cross-Site Scripting en Holded
El compañero de Hispasec, Raúl Vega, identificó una vulnerabilidad crítica, etiquetada con CVE-2024-4026, en la popular aplicación web de gestión empresarial Holded. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de la sección «Mi perfil» afectando la seguridad de toda la plataforma.
La vulnerabilidad descubierta, reportada por INCIBE, reside en la funcionalidad de edición del perfil de usuario de la aplicación, donde los campos editables permiten la inserción y ejecución de scripts JavaScript. Este código puede ser ejecutado por cualquier usuario que acceda a la sección “Equipo” de la aplicación, donde se reflejan los cambios realizados en el perfil. La naturaleza del fallo es un Cross-Site Scripting (XSS) almacenado, que es particularmente peligroso ya que el script malicioso se almacena en los servidores de la aplicación y se ejecuta repetidamente cada vez que se visualiza la página afectada.
El ataque se explota directamente a través de la interacción de los usuarios con la página afectada. Los atacantes pueden usar este vector para:
- Robar cookies de sesión, comprometiendo las cuentas de usuario.
- Redireccionar a los usuarios a sitios maliciosos mediante phishing.
- Ejecutar acciones en nombre de los usuarios sin su consentimiento, como acceder a información sensible o realizar transacciones.
La existencia de vulnerabilidades como CVE-2024-4026 resalta la necesidad crítica de realizar auditorías de seguridad con regularidad y aplicar prácticas de codificación segura, especialmente en programas de software empresarial (ERP, CRM,…) que manejan información sensible de los usuarios. Las organizaciones deben actualizar sus aplicaciones a la última versión parcheada para mitigar este tipo de amenazas de seguridad.
Más información:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-en-la-aplicacion-holded
- https://www.cvedetails.com/cve/CVE-2024-4026
La entrada Vulnerabilidad Cross-Site Scripting en Holded se publicó primero en Una al Día.
Powered by WPeMatico