Vulnerabilidad en DevExpress (CVE-2023-35814)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
28/04/2025
Última modificación:
05/06/2025
Descripción
DevExpress anterior a 23.1.3 no protege adecuadamente los datos serializados de XtraReport en formularios web ASP.NET.
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:devexpress:devexpress:*:*:*:*:*:*:*:* | 21.2.12 (excluyendo) | |
| cpe:2.3:a:devexpress:devexpress:22.1.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:devexpress:devexpress:22.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:devexpress:devexpress:22.2.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://code-white.com/public-vulnerability-list/
- https://supportcenter.devexpress.com/ticket/details/t1141158/missing-protection-of-xtrareport-serialized-data-in-asp-net-web-forms
- https://supportcenter.devexpress.com/ticket/details/t1158413/the-allowpassingdatasourceconnectionparameterstoclient-method-may-allow-untrusted-access
- https://supportcenter.devexpress.com/ticket/details/t1160535/web-reporting-well-formed-request-to-a-report-control-s-backend-can-use
- https://supportcenter.devexpress.com/ticket/details/t394936/devexpress-security-advisory-updated-on-april-27-2023