El equipo de investigación de NIVEL4 encontró una vulnerabilidad crítica que afecta a un sistema utilizado diversas (y grandes) empresas. La vulnerabilidad permite tomar control del servidor y acceder a los datos de forma remota. ProntusCMS es un gestor de contenidos hecho en Chile, de la mano de la empresa AltaVoz. Es utilizado por varias […]
El equipo de investigación de NIVEL4 encontró una vulnerabilidad crítica que afecta a un sistema utilizado diversas (y grandes) empresas. La vulnerabilidad permite tomar control del servidor y acceder a los datos de forma remota.
ProntusCMS es un gestor de contenidos hecho en Chile, de la mano de la empresa AltaVoz. Es utilizado por varias empresas de distinto tamaño y rubro, tanto en el ámbito privado y público.
La investigación estuvo encabezada por Israel Leiva, parte del equipo de Redteam & Researching de NIVEL4, quien logró la ejecución de comandos remotos gracias a una vulnerabilidad presente en uno de los componentes de Prontus. Para aprovecharse de la vulnerabilidad no es necesario estar autenticado y es posible explotarla de forma remota.
El hallazgo tiene un score de 9.8, considerado como Critical, de acuerdo al estandar CVSSv3.
Hemos notificado al fabricante para que se libere un parche lo antes posible y adicionalmente trabajar en comunicar a los usuarios sobre como mitigar la vulnerabilidad.
La prueba de concepto fue exitosa en las versiones 11.2.101 a la 12.0.3.0, sin embargo, no se descarta que pueda afectar a versiones anteriores.
A quienes utilizan este CMS, se recomienda contactarse con el fabricante o bien directamente con nosotros para poder entregar mayor información.
Actualización
22/08/2019 – Ya se encuentra disponible la actualización.
21/08/2019 – El fabricante ha mitigado la vulnerabilidad y se espera el lanzamiento dle nuevo release.
23/08/2019 – Se ha asignado el CVE 2019-15503 para poder realizar el seguimiento correspondiente.
Durante DEF CON 27 se publicó una vulnerabilidad que afecta al sistema de administración Webmin. La vulnerabilidad permite la ejecución de comandos remotos con privilegios de root. La publicación fue catalogada como 0-day debido a que en el momento no existía parche por parte del fabricante.
Investigadores de seguridad han detectado una nueva estafa de phishing que engaña a los usuarios de Instagram para que entreguen su información confidencial. La estafa utiliza técnicas simples de ingeniería social, como alertas de intentos fallidos de inicio de sesión junto con lo que parecen códigos de autenticación de dos factores (2FA).