EMSigner CVE 1

Fallo lógico en la gestión de usuarios de la aplicación web de EMSigner permite la modificación no autorizada de nombres de usuario y privilegios

Resumen

Nombre: Fallo lógico en la gestión de usuarios de la aplicación web de EMSigner permite la modificación no autorizada de nombres de usuario y privilegios

Producto: EMSigner

Versiones afectadas: EMSigner version 2.8.7

Componente afectado: EndPoint /eMsecure/Users/AdhocUser Y parámetro “Name”

Tipo de ataque: Remoto

Tipo de vulnerabilidad: Control de Acceso Incorrecto

Impacto: Integridad

CVSSv3.1 Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

CVSSv3.1 Base Score: 7.1

CVE ID(s): CVE-2023-43901

Descripción

El control de acceso incorrecto en el formulario de creación de usuarios AdHoc de EMSigner v2.8.7 permite a atacantes no autenticados modificar arbitrariamente nombres de usuarios y privilegios utilizando la dirección de correo electrónico de un usuario registrado.

Vulnerabilidad

La vulnerabilidad “Defecto de lógica empresarial en la gestión de usuarios de aplicaciones web de EMSigner permite la modificación no autorizada de nombres de usuario y privilegios” tiene su origen en una falla crítica de lógica empresarial dentro del sistema de gestión de usuarios de la aplicación web EMSigner. Esta falla permite que usuarios no autorizados manipulen los datos del usuario, incluido el cambio de nombres de usuario y la degradación de privilegios de usuario, cuando utilizan la dirección de correo electrónico de un usuario registrado.

Vectores de Ataque

La vulnerabilidad se explota a través del formulario de creación de Usuario AdHoc o solicitud web de la aplicación web. Un atacante puede obtener acceso no autorizado al formulario o solicitud, lo que le permite modificar los nombres de usuario y los privilegios utilizando la dirección de correo electrónico de un usuario registrado. Esta falla de lógica empresarial permite la alteración no autorizada de datos de usuario existentes, lo que podría provocar acciones no autorizadas y degradación de privilegios.

Explotación de la vulnerabilidad

Durante la evaluación de la aplicación web para uno de nuestros clientes, realizamos una evaluación en una aplicación web que utilizaba el software emSigner. Ahora, hablando de emSigner, este software es una solución de automatización de documentos que ayuda a las organizaciones a eliminar por completo el papel de todos los flujos de trabajo y crear un ecosistema de automatización de documentos de extremo a extremo, digitalizando documentos utilizando firmas digitales legalmente válidas.
Mientras investigábamos esta aplicación web, descubrimos una vulnerabilidad que permite la modificación no autorizada de nombres de usuario y la degradación de privilegios de usuario mediante la explotación del formulario de creación de usuario AdHoc o la solicitud web. La vulnerabilidad permite sobrescribir o modificar datos de usuario existentes, incluidos nombres de usuario y privilegios, cuando se utiliza la dirección de correo electrónico de un usuario registrado.

 

A continuación, explicaremos esta vulnerabilidad y los pasos necesarios para explotarla.

Primero inicié sesión como usuario con pocos privilegios [email protected] y haga clic en la opción para crear usuarios ad hoc como se muestra en la figura 12.

Figura 12 Adhoc Users

Un atacante envía una solicitud HTTP POST al punto final de creación de usuarios AdHoc en https://domain.com/eMsecure/Users/AdhocUser con el parámetro “Nombre” establecido en un nuevo nombre (por ejemplo, “Juan”) y la dirección de correo electrónico de un usuario existente como se muestra en la figura 13.

Figura 13 Request HTTP

El servidor procesa la solicitud y actualiza exitosamente el nombre del usuario y degrada sus privilegios asociados con la dirección de correo electrónico proporcionada como se muestra en la figura 14.

Figura 14 Response HTTP

El nombre de usuario de la víctima ahora se cambia y queda con los privilegios mínimos en la aplicación, como se muestra en la figura 15.

Figura 14 Response HTTP

Remediación

Una versión actualizada de EMSigner está disponible en la página del proveedor.

Créditos

La vulnerabilidad fue descubierta por Jean Paul Granados de la empresa SecPro (https://secpro.co/ – https://secpro.llc/).

Referencias

Página de proveedor https://www.emsigner.com/

Línea de Tiempo

2023-02-27
Vulnerabilidad descubierta.

2023-05-08
Proveedor contactado.

2023-05-24
El vendedor respondió reconociendo el informe.

2023-09-01
Vulnerabilidad parcheada.

2023-10-27
Revelación pública.

https://www.emsigner.com/