CVE-2024-49705

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-49705
Internet Starter, one of SoftCOM iKSORIS system modules, is vulnerable to client-side Denial of Servise (DoS) attacks. An attacker might trick a user into using an URL with a d parameter set to an unhandled value. All the subsequent requests will not be accepted as the server returns an error message. Since this parameter is sent as part of a session cookie, the issue persists until the session expires or the user deletes cookies manually.  Similar effect might be achieved when a user tries to change platform language to an unimplemented one. This vulnerability has been patched in version 79.0

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://cert.pl/en/posts/2025/04/CVE-2024-10087 Third Party Advisory
https://www.iksoris.pl/system-rezerwacji-i-sprzedazy-biletow-iksoris.html Product
Configurations

Configuration 1 (hide)

cpe:2.3:a:softcom.wroc:iksoris:*:*:*:*:*:*:*:*
History

28 Oct 2025, 17:11

Type Values Removed Values Added
CPE cpe:2.3:a:softcom.wroc:iksoris:*:*:*:*:*:*:*:*
First Time Softcom.wroc iksoris
Softcom.wroc
References () https://cert.pl/en/posts/2025/04/CVE-2024-10087 - () https://cert.pl/en/posts/2025/04/CVE-2024-10087 - Third Party Advisory
References () https://www.iksoris.pl/system-rezerwacji-i-sprzedazy-biletow-iksoris.html - () https://www.iksoris.pl/system-rezerwacji-i-sprzedazy-biletow-iksoris.html - Product
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5

15 Apr 2025, 18:39

Type Values Removed Values Added
Summary
  • (es) Internet Starter, uno de los módulos del sistema SoftCOM iKSORIS, es vulnerable a ataques de denegación de servicio (DoS) del lado del cliente. Un atacante podría engañar a un usuario para que use una URL con el parámetro ad configurado con un valor no controlado. Las solicitudes posteriores no serán aceptadas, ya que el servidor devuelve un mensaje de error. Dado que este parámetro se envía como parte de una cookie de sesión, el problema persiste hasta que la sesión expira o el usuario elimina las cookies manualmente. Un efecto similar podría ocurrir si un usuario intenta cambiar el idioma de la plataforma a uno no implementado. Esta vulnerabilidad ha sido corregida en la versión 79.0.

14 Apr 2025, 12:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-14 12:15

Updated : 2025-10-28 17:11

NVD link : CVE-2024-49705

Mitre link : CVE-2024-49705

CVE.ORG link : CVE-2024-49705

JSON object : View

Products Affected

softcom.wroc

  • iksoris
CWE
CWE-248

Uncaught Exception