Vulnerabilidad en FluxCP (CVE-2024-45799)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

16/09/2024

Última modificación:

23/04/2025

Descripción

FluxCP es un panel de control basado en la web para servidores rAthena escrito en PHP. Es posible realizar una inyección de JavaScript a través de las páginas de listas de vendedores/compradores y los nombres de las tiendas, que actualmente no están desinfectadas. Esto permite ejecutar código JavaScript arbitrario en el navegador del usuario con solo visitar las páginas de la tienda. Como resultado, todos los usuarios que hayan iniciado sesión en FluxCP pueden sufrir el robo de la información de su sesión. Este problema se ha solucionado en la versión 1.3. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.30

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:rathena:fluxcp::::::::		1.3.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/rathena/FluxCP/security/advisories/GHSA-xvqv-25vf-88g4