Mensaje de error de subir archivos en firma ya que no coloca .jpg

Bug etichal Hacking

Cierre de vulnerabilidad Subida de ficheros deficiente o no controlada

Descripción

La aplicación permite la subida arbitraria de ficheros, lo cual podría conllevar la subida de ficheros maliciosos que permitan la ejecución de comandos en el servidor o alojar malware

Impacto

La ejecución de código arbitrario es posible si un archivo cargado es interpretado y ejecutado como código por el  destinatario. Esto es especialmente cierto para extensiones .asp y .php si son subidos a servidores web, debido a que estos tipos de archivos son tratados a menudo de forma automática, aun cuando los permisos del sistema de archivos no especifican la ejecución. Por ejemplo, en entornos Unix, los programas típicamente no pueden funcionar a menos que se establezca el bit de ejecución, pero los programas de PHP pueden ser ejecutado por el servidor web sin necesidad de invocar directamente en el sistema operativo.

Acción desarrollada:

Descripción extendida
Una vez un usuario se ha autenticado, en la sección del perfil del usuario, es posible subir un fichero a modo de firma, sin que el servidor analice el contenido del fichero subido

Para solucionar este hallazgo se aplico el control donde solo se permite archivos *.png y un tamaño hasta 20 k, los archivos guardados en el servidor es de lectura como se registra las siguientes imágenes

Imagen_3: Control de tamaño
Imagen_4: Control por tipo de archivo 
Imagen_5: Control por dimensiones 
Imagen_6 Control almacenamientos archivos 

Como indica el hallazgo para realizar actividad de subir ficheros requiere de una autenticación el servicio esta autenticando con la seguridad de Cenit vía SAML mediante Microsoft Entra ID