- Centro de ayuda
- Binaps Suite
- Solución de Errores
-
Gestión de Documentos
-
Planes de Acción
-
Gestión de Riesgos
-
Auditorías
-
BPM - FORMS
-
Score Card
-
Gestión de Actas
-
Compliance
-
HDM
-
Evaluación a Proveedores
-
Proyectos
-
Gestión Documental - ECM
-
Acreditación
-
Flow
-
Consola de Administración
-
Novedades Binaps (Mayo - Julio 2023)
-
Análisis de Causas
-
Binaps Suite
-
Preguntas Frecuentes
-
Audit Trail
-
Asistencia y Soporte
-
Autoevaluación
-
Configuraciones Avanzadas
-
Plantillas e Inputs de Migración
-
Metodologías de Riesgo
-
BI - Bussiness Intelligence
-
Activos
-
knowledge
Mensaje de error de subir archivos en firma ya que no coloca .jpg
Bug etichal Hacking
Cierre de vulnerabilidad Subida de ficheros deficiente o no controlada
Descripción
La aplicación permite la subida arbitraria de ficheros, lo cual podría conllevar la subida de ficheros maliciosos que permitan la ejecución de comandos en el servidor o alojar malware
Impacto
La ejecución de código arbitrario es posible si un archivo cargado es interpretado y ejecutado como código por el destinatario. Esto es especialmente cierto para extensiones .asp y .php si son subidos a servidores web, debido a que estos tipos de archivos son tratados a menudo de forma automática, aun cuando los permisos del sistema de archivos no especifican la ejecución. Por ejemplo, en entornos Unix, los programas típicamente no pueden funcionar a menos que se establezca el bit de ejecución, pero los programas de PHP pueden ser ejecutado por el servidor web sin necesidad de invocar directamente en el sistema operativo.
Acción desarrollada:
Descripción extendida
Una vez un usuario se ha autenticado, en la sección del perfil del usuario, es posible subir un fichero a modo de firma, sin que el servidor analice el contenido del fichero subido
Para solucionar este hallazgo se aplico el control donde solo se permite archivos *.png y un tamaño hasta 20 k, los archivos guardados en el servidor es de lectura como se registra las siguientes imágenes
Imagen_3: Control de tamaño
Imagen_4: Control por tipo de archivo
Imagen_5: Control por dimensiones
Imagen_6 Control almacenamientos archivos
Como indica el hallazgo para realizar actividad de subir ficheros requiere de una autenticación el servicio esta autenticando con la seguridad de Cenit vía SAML mediante Microsoft Entra ID