Múltiples vulnerabilidades detectadas en Apache Fineract

Apache Fineract, una solución bancaria central de código abierto ampliamente utilizada por instituciones financieras, ha lanzado parches de seguridad para abordar tres vulnerabilidades, una de las cuales ha sido clasificada como crítica. Estas vulnerabilidades podrían potencialmente permitir a los atacantes ejecutar consultas maliciosas en la base de datos o escalar privilegios sin autorización.

• CVE-2024-23538 (CVSS 9.9) y CVE-2024-23539 (CVSS 8.3): Estas vulnerabilidades derivan de la neutralización inadecuada de elementos especiales utilizados en un comando SQL, lo que convierte al parámetro sqlSearch en un vector para ataques de SQL Injection. Un atacante podría aprovechar esta vulnerabilidad para modificar registros de la base de datos, acceder a datos confidenciales o incluso realizar cambios maliciosos en el sistema financiero, comprometiendo así la integridad de los datos y la confianza de los usuarios en la plataforma.

• CVE-2024-23537 (CVSS 8.4): Esta falla podría permitir a los usuarios sin permisos específicos escalar sus privilegios a cualquier rol dentro del sistema, permitiendo el acceso y control no autorizado. Por ejemplo, un usuario con permisos limitados podría aprovechar esta vulnerabilidad para obtener acceso a funciones y datos sensibles reservados normalmente para roles de administrador. Esto podría interrumpir la colaboración o incluso dejar fuera de línea flujos de trabajo críticos.

Versiones afectadas:

• Todas las versiones de Apache Fineract anteriores a la 1.8.5.

Solución:

• Actualizar Apache Fineract a las versiones 1.8.5 ó 1.9.0.

Recomendaciones:

• Actualizar Apache Fineract a la versión 1.8.5 o 1.9.0 para solventar estas vulnerabilidades y mitigar los riesgos potenciales.

• En caso de no poder realizar las actualizaciones de forma inmediata, se sugiere revisar minuciosamente las configuraciones de sus sistemas para identificar posibles puntos de exposición y mitigar los riesgos hasta que se puedan aplicar los parches respectivos.

• Monitorear el estado de futuras actualizaciones de seguridad y parches de Apache Fineract para garantizar la protección continua del sistema.

Referencias:

• https://securityonline.info/apache-fineract-patches-multiple-flaws-including-critical-privilege-escalation-cve-2024-23539/?expand_article=1

• https://www.cvedetails.com/cve/CVE-2024-23537/

• https://www.cvedetails.com/cve/CVE-2024-23538/

• https://www.cvedetails.com/cve/CVE-2024-23539/