Meta4 HR, versiones 819.001.022 y anteriores.

INCIBE ha coordinado la publicación de 5 vulnerabilidades, una de severidad crítica, dos altas y dos medias que afectan a Meta4 HR del fabricante Cegid, las cuales han sido descubiertas por:

• Pedro Jose Navas Pérez, de Hispasec, y Jesús Antón (CVE-2024-2632).
• Pedro Jose Navas Pérez, de Hispasec, (CVE-2024-2633 y CVE-2024-2634).
• Jesús Antón (CVE-2024-2635 y CVE-2024-2636).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

• CVE-2024-2632: 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-200
• CVE-2024-2633: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
• CVE-2024-2634: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
• CVE-2024-2633: 7.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L | CWE-698
• CVE-2024-2632: 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-434

• CVE-2024-2632 y CVE-2024-2633: el administrador del sistema de Meta4 HR debe eliminar las siguientes páginas de los servidores web que salen a Internet: de M4WebServices, la carpeta 'sitetest' (que contiene la página dumpenv.jsp), y de M4Gateway, la página dump.jsp. En futuras versiones de Meta4 HR de Cegid, estas páginas serán eliminadas de la distribución, ya que no ofrecen funcionalidad real.
• CVE-2024-2634: cualquier producto con todas las correcciones aplicadas después de 2013 no es vulnerable a este Cross-Site Scripting (XSS).
• CVE-2024-2635: las páginas de configuración disponibles no están pensadas para incluirse en un servidor web orientado a Internet, ya que exponen rutas de archivos que podrían ser utilizadas por un atacante. En lugar de reescribir estas páginas para evitar esta vulnerabilidad, se descartarán de futuras versiones de Meta4 HR, ya que no ofrecen funcionalidad del producto.
• CVE-2024-2636: el administrador del sistema Meta4 HR debe eliminar de M4WebServices, la carpeta “config” (que contiene la página webappconfig.jsp) con salida a Internet. En futuras versiones de Meta4 HR de Cegid, estas páginas se eliminarán de la distribución por defecto.

• CVE-2024-2632: exposición de información en Meta4 HR. Esta vulnerabilidad permite a un atacante obtener información sobre la aplicación, como las variables establecidas en el proceso, las versiones de Tomcat, las versiones de las bibliotecas y el sistema operativo subyacente a través de HTTP GET '/sitetest/english/dumpenv.jsp'.
• CVE-2024-2633: Cross-Site Scripting (XSS) en Meta4 HR que afecta a la versión 819.001.022 y anteriores. El endpoint '/sitetest/english/dumpenv.jsp' es vulnerable a un ataque XSS a través de la query 'lang', es decir, “/sitetest/english/dumpenv.jsp?snoop=yes⟨=%27%3Cimg%20src/onerror=alert(1)%3E&params”.
• CVE-2024-2634: Cross-Site Scripting (XSS) en Meta4 HR que afecta a la versión 819.001.022 y anteriores. El endpoint '/sse_generico/generico_login.js' es vulnerable a un ataque XSS a través de la consulta 'lang', es decir, '/sse_generico/generico_login.jsp?lang=%27%3balert(%27BLEUSS%27)%2f%2f&params='.
• CVE-2024-2635: vulnerabilidad en Meta4 HR de Cegid que consiste en la ejecución después de la redirección. Esta vulnerabilidad podría permitir a un atacante saltarse las medidas de seguridad de las aplicaciones accediendo directamente al archivo 'webappconfig.jsp' y cancelando la petición de redirección, que llevaría al archivo de configuración dentro de la aplicación, en el que un atacante podría modificar diferentes parámetros.
• CVE-2024-2636: subida de archivos sin restricciones en Meta4 HR de Cegid, que podría permitir a un atacante subir archivos maliciosos al servidor a través de '/config/espanol/update_password.jsp'. Modificando el parámetro 'M4_NEW_PASSWORD', un atacante podría almacenar un archivo JSP malicioso dentro del directorio de archivos para ser ejecutado al ser cargado el archivo en la aplicación.