Google

Vulnerabilidad en sistema Banner

Written on:August 9, 2019
Comments
Add One

La vulnerabilidad con el identificador  CVE-2019-8978, que fue reportada desde mayo 2019, permite al atacante ingresar al sistema Banner, con una cuenta institucional y con permiso para ejecutar scripts para administración e inscripción de nuevas cuentas, creación de usuarios, modificar usuarios, adeudos, cambio de calificaciones, etc.. 

El identificador único de usuario (UDCID), es filtrado vía cookie, teniendo esta información podría usarse para explotar una condición para acceso no autorizado y ejecutar diferentes scripts, borrar cuentas, ayuda financiera etc. 

A partir de esto se han detectado vulnerabilidades sobre aplicaciones de admisión fraudulentas a diferentes instituciones educativas, Ellucian liberó un comunicado sobre este tipo de aplicaciones falsas, indicando sobre el uso de herramientas automatizadas, bots o scripts.

Ellucian recomienda el uso de reCAPTCHA en el proceso de admisión para reducir los registros falsos, incluso si la institución no ha experimentado este tipo de ataques.

Los sistemas afectados son:

  • Ellucian Banner Web Tailor versions 8.8.3, 8.8.4 
  • Banner Enterprise Identity Services versions 8.3, 8.3.1, 8.3.2 
  • Banner Enterprise Identity Services versions 8.4 

Recomendaciones: 

  • Realizar los parches correspondientes en el sistema Banner para poder mitigar la vulnerabilidad CVE-2019-8978 
  • El uso de reCAPTCHAS para el proceso de registro. 
  • Actualizar servicio de Ellucian Banner web Tailor a la version 8.9.

Fuentes:

https://www.ellucian.com/news/ellucian-banner-system-vulnerability-update

https://www.ellucian.com/news/ellucian-banner-system-vulnerability-update

Leave a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: