Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en reNgine (CVE-2024-43381)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/08/2024
Última modificación:
11/09/2024

Descripción

reNgine es un framework de reconocimiento automatizado para aplicaciones web. Las versiones 2.1.2 y anteriores son susceptibles a ataques de Cross-Site Scripting (XSS) Almacenado. Esta vulnerabilidad ocurre al escanear un dominio, y si el registro DNS del dominio de destino contiene un payload XSS, conduce a la ejecución de scripts maliciosos en la vista del panel de reNgine cuando cualquier usuario ve los resultados del escaneo. El payload XSS se obtiene directamente del registro DNS del dominio de destino remoto. En consecuencia, un atacante puede ejecutar el ataque sin requerir ninguna entrada adicional por parte del objetivo o del usuario de reNgine. Hay un parche disponible y se espera que forme parte de la versión 2.1.3.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:yogeshojha:rengine:*:*:*:*:*:*:*:* 2.1.3 (excluyendo)