Vulnerabilidad de bypass de autorización en UPV PEIX

UPV PEIX

INCIBE ha coordinado la publicación de una vulnerabilidad en UPV PEIX, un sistema de gestión de prácticas de empresa de la Escuela Técnica Superior de Ingeniería Informática de la Universitat Politècnica de València (UPC), que ha sido descubierta por Pablo Alcarria Lozano y Germán Planells García.

A esta vulnerabilidad se le ha asignado el código:

• CVE-2023-2544:
  • Puntuación base CVSS v3.1: 5,3.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N.
  • Tipo de vulnerabilidad: CWE-639: acceso no autorizado a datos de otro usuario. 

Esta vulnerabilidad ha sido solucionada en agosto de 2022.

• CVE-2023-2544: vulnerabilidad de bypass de autorización en UPV PEIX, que afecta al componente \"pdf_curri_new.php\". A través de una petición POST, un usuario autenticado podría cambiar el parámetro ID para recuperar toda la información almacenada de otros usuarios registrados.