Vulnerabilidad en HCL Connections (CVE-2023-28017)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

07/12/2023

Última modificación:

12/12/2023

Descripción

HCL Connections es vulnerable a un ataque de Cross-Site-Scripting en el que un atacante puede aprovechar este problema para ejecutar código de script arbitrario en el navegador de un usuario desprevenido después de visitar la URL vulnerable que conduce a la ejecución de código de script malicioso. Esto puede permitir al atacante robar credenciales de autenticación basadas en cookies y capturar la cuenta de un usuario y luego lanzar otros ataques.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:hcltech:connections:6.0:::::::*
cpe:2.3:a:hcltech:connections:6.5:::::::*
cpe:2.3:a:hcltech:connections:7.0:::::::*
cpe:2.3:a:hcltech:connections:8.0:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0108264

CPE	Desde	Hasta
cpe:2.3:a:hcltech:connections:6.0:::::::*
cpe:2.3:a:hcltech:connections:6.5:::::::*
cpe:2.3:a:hcltech:connections:7.0:::::::*
cpe:2.3:a:hcltech:connections:8.0:::::::*