Dos compañeros del equipo Red Team del CSIRT-CV, Pablo Arias Rodríguez y Jorge Alberto Palma Reyes, han detectado cinco vulnerabilidades en Arconte Áurea, un software para la grabación, almacenamiento y gestión de toda la información generada en los tribunales judiciales, desarrollada por Fujitsu.
INCIBE, por su parte, se ha encargado de coordinar la publicación de estas brechas de seguridad, que afectaban a las versiones de este producto inferiores a la 1.5.0.0.
A estas cinco vulnerabilidades, se han asignado los siguientes códigos: puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
- CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
- CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
- CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
- CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.
Para conocer los detalles, puedes consultar aquí la publicación de INCIBE.
Por último, cabe resaltar, que estas vulnerabilidades han sido solucionadas por Fujitsu en la versión 1.5.0.0, publicada el 4/4/2022, y que todas las nuevas versiones del producto, incluida la última 1.6.2.3, también incluye las correcciones.