Vulnerabilidad en Decidim (CVE-2024-39910)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

16/09/2024

Última modificación:

29/09/2024

Descripción

Decidim es una democracia participativa, participación ciudadana y gobierno abierto de código abierto y gratuito para ciudades y organizaciones. El editor WYSWYG QuillJS está sujeto a posibles ataques XSS en caso de que el atacante logre modificar el HTML antes de subirlo al servidor. El atacante puede cambiar, por ejemplo, a si sabe cómo crear estas solicitudes por sí mismo. Este problema se ha solucionado en la versión 0.27.7. Se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben revisar las cuentas de usuario que tienen acceso al panel de administración (es decir, administradores generales y administradores del espacio participativo) y eliminar el acceso a ellas si no lo necesitan. Desactive la opción "Habilitar editor de texto enriquecido para participantes" en el panel de administración

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno