Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en Oracle Retail Xstore Point of Service. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar diversas variantes de ataque además de acceder a información confidencial.

A continuación se presentan breves descripciones de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2020-25649: La validación insuficiente de la entrada XML proporcionada por el usuario permitiría a los actores de amenazas pasar código XML especialmente diseñado a la aplicación afectada.

La vulnerabilidad recibió un puntaje CVSS de 6.5/10 y su explotación exitosa permitiría a los hackers maliciosos modificar información en el sistema.

CVE-2020-8277: La gestión inadecuada de los recursos internos dentro de la aplicación al procesar una gran cantidad de respuestas DNS podría ser abusada por hackers empleando una aplicación Node.js para activar una solicitud DNS a un host malicioso, lo que podría conducir a un ataque de denegación de servicio (DoS).

Esta es una falla de severidad media que recibió un puntaje CVSS de 5.6/10.

CVE-2020-17527: La gestión inadecuada de los recursos internos al procesar solicitudes HTTP/2 en Apache Tomcat permitiría a los actores de amenazas extraer información confidencial de las solicitudes HTTP.

La falla recibió un puntaje CVSS de 4.6/10 y su explotación exitosa permitiría a los hackers acceder a información sensible.

CVE-2019-0219: La inadecuada depuración de los datos proporcionados por el usuario que se pasan a través de un gap-iab: URI especialmente diseñado permitirían a los atacantes remotos engañar a la víctima para que siga un enlace especialmente diseñado y ejecute código JavaScript arbitrario en la vista web de la aplicación principal en el dispositivo Android.

La vulnerabilidad recibió un puntaje de 5.3/10 y su explotación exitosa permitiría a los hackers realizar ataques de scripts entre sitios (XSS).

CVE-2021-21345: La validación de entrada insegura al procesar datos serializados en la aplicación afectada permite a los atacantes remotos pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema comprometido.

La vulnerabilidad recibió un puntaje CVSS de 8.5/10.

Estas fallas residen en las siguientes versiones de Oracle Retail Xstore Point of Service: 16.0.6, 17.0.4, 18.0.3 y 19.0.2.

Si bien estas vulnerabilidades pueden ser explotadas por actores de amenazas de forma remota, los expertos en ciberseguridad aún no han encontrado evidencia de explotación activa o la existencia de una variante de malware asociada al ataque.  

Las actualizaciones ya están listas para ser instaladas, lo que todos los administradores de versiones afectadas deberán hacer a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).