Vulnerabilidad en Xibo (CVE-2024-43412)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

03/09/2024

Última modificación:

12/09/2024

Descripción

Xibo es una plataforma de señalización digital de código abierto con un sistema de gestión de contenido web (CMS). Antes de la versión 4.1.0, una vulnerabilidad de cross-site scripting en Xibo CMS permitía a los usuarios autorizados ejecutar código JavaScript arbitrario a través de la función de vista previa de archivos. Los usuarios pueden cargar archivos HTML/CSS/JS en la librería Xibo a través del módulo Archivo genérico para que se haga referencia a ellos en las pantallas y en los diseños. Esta es una funcionalidad prevista. Al obtener una vista previa de estos recursos desde la librería y el editor de diseños, se ejecutan en el navegador del usuario. Esta función se desactivará en futuras versiones y se recomienda a los usuarios que utilicen las nuevas herramientas para desarrolladores en la versión 4.1 para diseñar sus widgets que requieran este tipo de funcionalidad. Este comportamiento se ha modificado en la versión 4.1.0 para obtener una vista previa de los archivos genéricos. No existen workarounds para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno