Lo último:
Seguridad

Vulnerabilidad Cross-Site Scripting en Holded

Gustavo Genez

El compañero de Hispasec, Raúl Vega, identificó una vulnerabilidad crítica, etiquetada con CVE-2024-4026, en la popular aplicación web de gestión empresarial Holded. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de la sección «Mi perfil» afectando la seguridad de toda la plataforma.

La vulnerabilidad descubierta, reportada por INCIBE, reside en la funcionalidad de edición del perfil de usuario de la aplicación, donde los campos editables permiten la inserción y ejecución de scripts JavaScript. Este código puede ser ejecutado por cualquier usuario que acceda a la sección “Equipo” de la aplicación, donde se reflejan los cambios realizados en el perfil. La naturaleza del fallo es un Cross-Site Scripting (XSS) almacenado, que es particularmente peligroso ya que el script malicioso se almacena en los servidores de la aplicación y se ejecuta repetidamente cada vez que se visualiza la página afectada.

El ataque se explota directamente a través de la interacción de los usuarios con la página afectada. Los atacantes pueden usar este vector para:

  • Robar cookies de sesión, comprometiendo las cuentas de usuario.
  • Redireccionar a los usuarios a sitios maliciosos mediante phishing.
  • Ejecutar acciones en nombre de los usuarios sin su consentimiento, como acceder a información sensible o realizar transacciones.

La existencia de vulnerabilidades como CVE-2024-4026 resalta la necesidad crítica de realizar auditorías de seguridad con regularidad y aplicar prácticas de codificación segura, especialmente en programas de software empresarial (ERP, CRM,…) que manejan información sensible de los usuarios. Las organizaciones deben actualizar sus aplicaciones a la última versión parcheada para mitigar este tipo de amenazas de seguridad.

Más información:

La entrada Vulnerabilidad Cross-Site Scripting en Holded se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Microsoft Patch Tuesday, December 2023 Edition

Gustavo Genez

Reto Santander X Global Challenge de Open Gateway: 120.000 € en premios

Gustavo Genez

Limpieza de redes sociales y contraseñas en primavera: ¿Qué borrar y qué mantener?

Gustavo Genez