Scoperta di 2 nuovi CVE: CVE-2020-35542 & CVE-2020-22789

Il mese scorso, tre dei nostri colleghi hanno scoperto importanti CVE nel loro lavoro di rinomati specialisti della sicurezza presso Bureau Veritas Cybersecurity: CVE-2020-35542 e CVE-2020-22789. Siamo orgogliosi di condividere questa notizia e desideriamo congratularci con Harikrishnan Padmanabha Pillai, Ricardo Sanchez e David van Gool per questi grandi risultati!

CVE pics ricardo hari and David

Durante un assessment di sicurezza, Harikrishnan Padmanabha Pillai, Security Specialist di Bureau Veritas Cybersecurity, ha trovato una vulnerabilità in cui un utente autenticato poteva inserire ed eseguire contenuti JavaScript dannosi dall'applicazione. La vulnerabilità è stata causata dalla mancanza di convalida degli input nell'applicazione. L'impatto di tale vulnerabilità è che potrebbe compromettere altri utenti dell'applicazione e potrebbe anche manomettere il suo database interno(CVE-2020-35542).

Successivamente, questa vulnerabilità è stata segnalata a Unisys ed è stata rimediata in seguito. Per maggiori informazioni su questa vulnerabilità e sui dettagli tecnici, continui a leggere.

Privacy 03

Oltre a Harikrishnan, anche i nostri colleghi Ricardo Sanchez e David van Goolhanno fatto una scoperta interessante. Durante il loro lavoro, hanno trovato una vulnerabilità in un FME Server della versione 2019.2 e 2020.0 Beta di uno Stored XSS non autenticato(CVE-2020-22789). Questa seconda vulnerabilità consente a un aggressore remoto di ottenere i privilegi di amministratore iniettando script web arbitrari o codice HTML tramite la pagina di login. L'XSS viene eseguito quando un amministratore accede alla pagina dei registri. Come parte della divulgazione responsabile di Bureau Veritas Cybersecurity, la vulnerabilità è stata segnalata e risolta dal fornitore nella nuova versione.

Per saperne di più su cosa comporta questa vulnerabilità e su come è stata scoperta, clicchi qui.