Detectify Crowdsource ha creado la lista de los 10 CVE Web más críticos en orden de gravedad (puntaje base CVSS máximo de 10) detectados durante 2020 en su plataforma. El año pasado recibieron un récord de más de 1.300 presentaciones de la comunidad, incluidas más de 180 vulnerabilidades Zero-Day.
1. CVE-2020-12720: Inyección SQL de vBulletin
vBulletin es un paquete de software de foro de Internet patentado que se utiliza para crear y administrar sitios web de comunidades en línea. La vulnerabilidad de inyección SQL encontrada permitiría a un atacante lanzar un ataque RCE restableciendo la contraseña del administrador.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @BBerastegui
2. CVE-2020-5902: F5 BIG IP RCE y LFI
La interfaz de usuario de gestión de tráfico en F5 BIG-IP es vulnerable a la ejecución de comandos arbitrarios y la lectura de archivos locales. Un problema de normalización de la ruta afecta al backend de Java, lo que permite a un atacante no autenticado realizar un ataque de Path Traversal y acceder a puntos finales sensibles que otorgarán más acceso dentro del sistema. En caso de explotación exitosa, un atacante podría ejecutar código arbitrario en el sistema.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @europa
3. CVE-2020-15506: Omisión de autenticación de MobileIron Core
Existe una vulnerabilidad de omisión de autenticación en las versiones 10.6 y anteriores de MobileIron Core y Connector que permite a los atacantes remotos omitir el mecanismo de autenticación. Esto permitiría a los atacantes acceder a los servicios y al panel de administración.
OWASP Top 10: Broken Authentication
CVSS Base Score: 9.8
Crowdsourcer: @boik
4. CVE-2020-14882: Oracle WebLogic RCE
Los servidores Oracle WebLogic sin parches permiten a los atacantes ejecutar comandos arbitrarios para descargar archivos, registrar pulsaciones de teclas, robar datos confidenciales y moverse lateralmente por una red. La vulnerabilidad se puede aprovechar simplemente enviando una solicitud al servidor.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @j3ssiejjj
5. CVE-2020-14750: Oracle WebLogic RCE
Esta es una vulnerabilidad de ejecución remota de código (RCE) en el producto Oracle WebLogic Server de Oracle Fusion Middleware. Si es vulnerable, un atacante podrá ejecutar comandos arbitrarios en la aplicación. Al igual que en CVE-2020-14882 anterior, la vulnerabilidad se puede aprovechar simplemente enviando una solicitud al servidor.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @madrobot
6. CVE-2020-17530: Apache Struts 2 RCE (OWASP 1: Inyección)
Apache Struts (2.5.25 o anterior) es propenso a una vulnerabilidad de ejecución remota de código. En algunos casos, algunos atributos de etiqueta podrían realizar una evaluación OGNL doble en la entrada de un usuario no confiable, lo que podría conducir a una condición de ejecución remota de código. Un atacante podría ejecutar comandos del sistema en el servidor.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @BBerastegui
7. CVE-2020-2551: Oracle WebLogic RCE
Esta es otra vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware que afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0 que otorga a los atacantes no autenticados acceso a la red a través de IIOP de Servidores Oracle WebLogic comprometidos.
OWASP Top 10: Injection
CVSS Base Score: 9.8
Crowdsourcer: @Corb3nik
8. CVE-2020-13379: Grafana SSRF
La función de avatar en Grafana contenía una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) que permitía a cualquier usuario o cliente no autenticado hacer que Grafana enviara solicitudes HTTP a cualquier URL y luego devolver el resultado al usuario o cliente.
OWASP Top 10: Broken Authentication
CVSS Base Score: 8.2
Crowdsourcer: @Rhynorater
9. CVE-2020-1147: Microsoft SharePoint Server RCE
Esta vulnerabilidad de RCE afecta a .NET Framework, Microsoft SharePoint y Visual Studio cuando el software no puede verificar el marcado de origen de la entrada del archivo XML. Un atacante que aprovechara con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto del proceso responsable de la deserialización del contenido XML.
OWASP Top 10: Injection
CVSS Base Score: 7.8
Crowdsourcer: @geeknik
10. CVE-2020-8209: Ruta transversal del servidor Citrix XenMobile
Esta es una vulnerabilidad de Path Traversal en Citrix XenMobile Server 10.12 antes de RP2, Citrix XenMobile Server 10.11 antes de RP4, Citrix XenMobile Server 10.10 antes de RP6 y Citrix XenMobile Server antes de 10.9 RP5. Un atacante puede descargar archivos arbitrarios del servidor y, en algunos casos, lanzar un ataque RCE.
OWASP Top 10: Broken Authentication
CVSS Base Score: 7.5
Crowdsourcer: @j3ssiejjj
Mención de honor: VMware vCenter Unuthenticated Arbitrary File
A este último nunca se le asignó un CVE pero sigue siendo digno de mención. VMware vCenter Server versión 6.5.0 o anterior permite que un atacante remoto lea archivos arbitrariamente en el host accediendo a la consola abierta de vCenter. Los atacantes pueden leer el archivo de configuración de vCenter para obtener la contraseña de la cuenta de administrador y luego apoderarse de la plataforma vCenter y los clústeres de máquinas virtuales que administra.
OWASP Top 10: Broken Authentication
Crowdsourcer: @j3ssiejjj