Vulnerabilidad en IPSwitch WhatsUp Gold (CVE-2015-6005)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
27/12/2015
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de XSS en IPSwitch WhatsUp Gold en versiones anteriores a la 16.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrario a través (1) de un objeto SNMP OID, (2) de un mensaje trap SNMP, (3) del campo View Names, (4) del campo Group Names, (5) del campo Flow Monitor Credentials, (6) del campo Flow Monitor Threshold Name, (7) del campo Task Library Name, (8) del campo Task Library Description, (9) del campo Policy Library Name, (10) del campo Policy Library Description, (11) del campo Template Library Name, (12) del campo Template Library Description, (13) del campo System Script Library Name, (14) del campo System Script Library Description o (15) del campo CLI Settings Library Description.
Impacto
Puntuación base 3.x
6.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:progress:whatsup_gold:*:*:*:*:*:*:*:* | 16.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://twitter.com/ipswitch/statuses/677558623229317121
- http://www.securityfocus.com/bid/79506
- http://www.securitytracker.com/id/1034833
- https://community.rapid7.com/community/infosec/blog/2015/12/16/multiple-disclosures-for-multiple-network-management-systems
- https://www.kb.cert.org/vuls/id/176160
- http://twitter.com/ipswitch/statuses/677558623229317121
- http://www.securityfocus.com/bid/79506
- http://www.securitytracker.com/id/1034833
- https://community.rapid7.com/community/infosec/blog/2015/12/16/multiple-disclosures-for-multiple-network-management-systems
- https://www.kb.cert.org/vuls/id/176160