Se ha encontrado una vulnerabilidad grave en MyCourts, la plataforma de gestión de reservas de canchas de tenis utilizada en clubes del Reino Unido. Este fallo, identificado como CVE-2025-57424, podría haber permitido a los atacantes tomar control de sesiones de usuario y acceder a cuentas sin autorización.
Detalles del Incidente
El investigador de seguridad William Fieldhouse de Aardwolf Security detectó una vulnerabilidad de XSS almacenado en la aplicación MyCourts. El problema se hallaba en un campo inesperado: el número de la LTA (Asociación de Tenis de Césped) dentro de los perfiles de usuario.
Esta vulnerabilidad recibió una clasificación de 7.3 en el CVSS, indicando una severidad alta. A pesar de que ya se ha solucionado, es un recordatorio crucial sobre la importancia de realizar pruebas de penetración en aplicaciones web.
Mecanismo del Ataque
La vulnerabilidad se basó en una falla común de seguridad web: la validación inadecuada de entradas. Cuando los usuarios ingresaban su número de LTA, la aplicación no validaba ni limpiaba adecuadamente los datos antes de almacenarlos.
Un atacante podría inyectar código JavaScript malicioso en este campo. Al navegar por el directorio de miembros y acceder al perfil del atacante, el código se ejecutaría en el navegador de la víctima. El proceso del ataque se desarrollaba así:
- El atacante crea un perfil con código malicioso.
- Los usuarios legítimos visitan el perfil del atacante.
- El JavaScript se ejecuta automáticamente en el navegador de la víctima.
- El script roba la cookie de sesión de la víctima.
- El atacante usa la sesión robada para entrar en la cuenta de la víctima.
Riesgos en el Mundo Real
No se trataba solo de una vulnerabilidad teórica. La explotación podía provocar consecuencias graves:
Secuestro de Sesiones: Los atacantes podían robar sesiones de administrador, controlando funciones críticas del club.
Toma de Control de Cuentas: Con sesiones robadas, los atacantes accedían a funciones administrativas.
Acceso Persistente: Los tokens de sesión podían reutilizarse sin necesidad de nueva autenticación.
Respuesta y Solución
HBI Consulting Ltd, la empresa detrás de MyCourts, actuó rápidamente. La vulnerabilidad se reportó en agosto de 2025 y se implementó una solución en el mismo mes.
Aardwolf Security verificó que la vulnerabilidad de XSS almacenado se resolvió exitosamente.
Recomendaciones para Clubes de Tenis
Si su organización utiliza MyCourts, considere lo siguiente:
Revise su Versión: Asegúrese de estar usando la versión de agosto de 2025 o posterior.
Monitoree la Actividad de Usuarios: Busque actividad sospechosa durante el periodo de vulnerabilidad.
Actualice sus Prácticas de Seguridad: Aproveche esta oportunidad para revisar su postura de seguridad en general.
Lecciones Clave en Seguridad Web
Esta vulnerabilidad resalta principios de seguridad esenciales:
Validación de Entradas: Todos los campos, incluso los inofensivos, necesitan validación adecuada.
Defensa en Profundidad: Implementar múltiples controles de seguridad es fundamental.
Codificación de Salida: Los datos proporcionados por el usuario deben codificarse correctamente.
Pruebas de Seguridad Regulares: Evaluaciones constantes ayudan a detectar vulnerabilidades inesperadas.
La Importancia de la Divulgación Responsable
Este caso demuestra el valor de prácticas de divulgación responsable. El investigador colaboró con el proveedor, permitiendo tiempo para implementar una solución antes de hacer pública la vulnerabilidad. Este enfoque protege a los usuarios y destaca problemas esenciales de seguridad.
Gracias a este esfuerzo coordinado, los usuarios de MyCourts disfrutan ahora de una mayor seguridad.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
