Descubrimiento de 2 nuevos CVE CVE-2020-35542 & CVE-2020-22789

El mes pasado, tres de nuestros colegas descubrieron importantes CVE en su trabajo como reputados especialistas en seguridad de Bureau Veritas Cybersecurity: CVE-2020-35542 y CVE-2020-22789. Estamos orgullosos de compartir esta noticia y nos gustaría felicitar a Harikrishnan Padmanabha Pillai, Ricardo Sánchez y David van Gool por estos grandes logros.

CVE pics ricardo hari and David

Durante una evaluación de seguridad, el especialista en seguridad de Bureau Veritas Cybersecurity , Harikrishnan Padmanabha Pillai, encontró una vulnerabilidad en la que un usuario autenticado podía insertar y ejecutar contenido JavaScript malicioso desde la aplicación. La vulnerabilidad se produjo debido a la falta de validación de entrada en la aplicación. El impacto de tal vulnerabilidad es que podría comprometer a otros usuarios en la aplicación y también podría manipular su base de datos interna(CVE-2020-35542).

Posteriormente, se informó a Unisys de esta vulnerabilidad, que fue subsanada. Para más información sobre esta vulnerabilidad y los detalles técnicos, siga leyendo.

Privacy 03

Junto a Harikrishnan, nuestros colegas Ricardo Sánchez y David van Gooltambién hicieron un descubrimiento interesante. Mientras realizaban su trabajo, encontraron una vulnerabilidad en un servidor FME de las versiones 2019.2 y 2020.0 Beta de un XSS almacenado no autenticado(CVE-2020-22789). Esta segunda vulnerabilidad permite a un atacante remoto obtener privilegios de administrador inyectando scripts web arbitrarios o código HTML a través de la página de inicio de sesión. El XSS se ejecuta cuando un administrador accede a la página de inicio de sesión. Como parte de la divulgación responsable de Bureau Veritas Cybersecurity la vulnerabilidad fue reportada y corregida por el proveedor en la nueva versión.

Lea más sobre lo que implica esta vulnerabilidad y cómo se descubrió aquí.