El compañero de Hispasec, Raúl Vega, identificó una vulnerabilidad media, etiquetada con CVE-2024-4026, en la popular aplicación web de gestión empresarial Holded. Esta vulnerabilidad permite la ejecución de scripts maliciosos a través de la sección «Mi perfil» afectando la seguridad de toda la plataforma.

La vulnerabilidad descubierta, reportada a INCIBE, reside en la funcionalidad de edición del perfil de usuario de la aplicación, donde los campos editables permiten la inserción y ejecución de scripts JavaScript. Este código se ejecutará de manera automática cada vez que un usuario acceda a la sección “Equipo”. La naturaleza del fallo es un Cross-Site Scripting (XSS) almacenado, que es particularmente peligroso ya que el script malicioso se almacena en los servidores de la aplicación y se ejecuta repetidamente cada vez que se visualiza la página afectada.

El ataque se explota directamente a través de la interacción de los usuarios con la página afectada. Los atacantes pueden usar este vector para:

• Robar cookies de sesión, comprometiendo las cuentas de usuario.
• Redireccionar a los usuarios a sitios maliciosos mediante phishing.
• Ejecutar acciones en nombre de los usuarios sin su consentimiento, como acceder a información sensible o realizar transacciones.

La existencia de vulnerabilidades como CVE-2024-4026 resalta la necesidad crítica de realizar auditorías de seguridad con regularidad y aplicar prácticas de desarrollo seguro, especialmente en programas de software empresarial (ERP, CRM,…) que manejan información sensible de los usuarios. Este método de explotación ha quedado solventado a raíz de la última actualización de la aplicación, ya lanzada (implementada de forma automática para todos los usuarios, por lo que no se requiere ningún tipo de acción por su parte).

Más información:

• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-en-la-aplicacion-holded
• https://www.cvedetails.com/cve/CVE-2024-4026