CVE-2019-9960: Descarga arbitraria de archivos en LimeSurvey

LimeSurvey es una aplicación de código abierto escrita en PHP, creada específicamente para realizar encuestas online. Es realmente útil para aquellos usuarios que carecen de conocimientos de programación, ayudándoles a generar un entorno para la recogida de respuestas sobre sus encuestas.

Hace un tiempo atrás, encontramos y reportamos una vulnerabilidad de descarga arbitraria de archivos en Limesurvey, la cual está registrada como CVE-2019-9960. Esta vulnerabilidad permite a un Administrador descargar archivos internos del servidor, a través de un Directory Traversal. La vulnerabilidad afecta a las versiones <= 3.15.9+190214.

Hasta la fecha, LimeSurvey cuenta con un total de 2.192 estrellas en GitHub.

Encontrando los bugs

Cuando un usuario exporta la estructura de una encuesta al formato *.lss, se genera un modal con el botón “Descargar archivo”.

modal estructura encuesta limesurvey

El mismo, al ser ejecutado, genera una petición GET a la siguiente URL:

/index.php/admin/export/sa/downloadZip/sZip/pb46rb245xhdv8aqtpebzpbpaw5pb8

LimeSurvey utiliza el formato Pretty URL, mediante el cual se realizan llamadas a diferentes acciones en los distintos controladores que componen la aplicación. La URL anterior se estructura de la siguiente manera.

 Por un lado, admin/export hace referencia al controlador:

./application/controllers/admin/export.php.sa

Read more

¿Qué es una Prueba de Penetración?

 Si eres principiante, este artículo te ayudará a conocer qué es una Prueba de Penetración,  también conocida con otros nombres como Prueba de Intrusión o Pentest. Esta sirve para evaluar la seguridad de una red. Se trata de un análisis exhaustivo de la infraestructura de la red para detectar puntos débiles en los que los atacantes externos podrían aprovecharse para obtener acceso no autorizado a la información almacenada. Estas pruebas no se limitan a la seguridad de la red, sino que también se pueden aplicar a aplicaciones, sistemas operativos, teléfonos inteligentes y otros dispositivos.

Read more

Mejoras en seguridad de la red para garantizar el futuro de tu empresa

En la actualidad, la ciberseguridad se ha convertido en uno de los temas más importantes para empresas y organizaciones de todo el mundo. Esto se debe en parte a la creciente amenaza de los ciberataques, que pueden afectar la integridad de los datos de una organización y causar estragos en la productividad. Afortunadamente, existen herramientas y estrategias disponibles para ayudar a las organizaciones a mejorar la seguridad de su red. Estas mejoras pueden ser extremadamente útiles para reducir el riesgo de ataques cibernéticos y proteger los datos críticos.

Read more

Ciberataques: ¿Cómo el Hacking Ético puede ayudar a las empresas en Chile?

En los últimos años, Chile se ha visto afectado por ciberataques cada vez más frecuentes que han afectado a empresas de todos los tamaños. Según el último informe de la Oficina de Seguridad Cibernética del país, en 2020 se registraron más de 5.500 incidentes de ciberseguridad, lo que representa un aumento de un 46% desde el año anterior.

Read more

10 Consejos para Garantizar la Seguridad de la Red en tu Empresa

¿Estás buscando la mejor manera de garantizar la seguridad de la red en tu empresa? Con los constantes cambios en el mundo de la tecnología, es importante que las empresas mantengan un estricto control de los sistemas de seguridad informáticos. Por eso, aquí te presentamos 10 consejos para lograr mantener la seguridad de la red en tu empresa en un buen nivel.

Read more

¿Qué es el Hacking Ético? Una guía básica para principiantes

Se suele relacionar la palabra hacker o hacking con una connotación negativa, pero el hacking ético no tiene nada que ver con los piratas informáticos ni ciberdelincuentes. El hacking ético hace referencia a la práctica que hace una persona altamente formada y con grandes conocimientos sobre informática y ciberseguridad, para ayudar a una empresa a detectar vulnerabilidades y debilidades.  Es una disciplina de la informática que se basa en el uso de herramientas y técnicas de piratería informática con fines de mejorar la seguridad de los sistemas informáticos. 

Read more

Prueba de Intrusión en Colombia: protege a tu empresa del aumento en ciberataques

En los últimos años, el número de ciberataques en Latinoamérica ha aumentado. Todos hemos oído hablar de la fuga de información del Ejército Nacional de Colombia, en donde según algunas versiones, fue provocada por agentes de inteligencia de un país cercano, comprometiendo información sensible de operaciones y orientaciones tácticas.  

Read more

Backed by

Hackmetrix startup chile