Vulnerabilidad en actionscript/Jplayer.as en el componente Flash SWF en jPlayer (CVE-2013-1942)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/08/2013
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades de XSS en actionscript/Jplayer.as en el componente Flash SWF (jplayer.swf) en jPlayer en versiones anteriores a 2.2.20, como se utiliza en ownCloud Server en versiones anteriores a 5.0.4 y otros productos, permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de los parámetros (1) jQuery o (2) id, como se demuestra usando document.write en el parámetro jQuery, una vulnerabilidad diferente a CVE-2013-2022 y CVE-2013-2023.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:happyworm:jplayer:*:*:*:*:*:*:*:* | 2.2.19 (incluyendo) | |
| cpe:2.3:a:happyworm:jplayer:0.2.1:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:0.2.2:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:0.2.3:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:0.2.4:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:0.2.5:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:happyworm:jplayer:2.0.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://marc.info/?l=oss-security&m=136570964825921&w=2
- http://marc.info/?l=oss-security&m=136726705917858&w=2
- http://marc.info/?l=oss-security&m=136773622321563&w=2
- http://owncloud.org/about/security/advisories/oC-SA-2013-014/
- http://seclists.org/fulldisclosure/2013/Apr/192
- http://www.jplayer.org/2.3.0/release-notes/
- http://www.securityfocus.com/bid/59030
- https://github.com/happyworm/jPlayer/commit/e8ca190f7f972a6a421cb95f09e138720e40ed6d
- http://marc.info/?l=oss-security&m=136570964825921&w=2
- http://marc.info/?l=oss-security&m=136726705917858&w=2
- http://marc.info/?l=oss-security&m=136773622321563&w=2
- http://owncloud.org/about/security/advisories/oC-SA-2013-014/
- http://seclists.org/fulldisclosure/2013/Apr/192
- http://www.jplayer.org/2.3.0/release-notes/
- http://www.securityfocus.com/bid/59030
- https://github.com/happyworm/jPlayer/commit/e8ca190f7f972a6a421cb95f09e138720e40ed6d