Vulnerabilidad en eLabFTW (CVE-2024-47826)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

14/10/2024

Última modificación:

08/11/2024

Descripción

eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Una vulnerabilidad en versiones anteriores a la 5.1.5 permite a un atacante inyectar etiquetas HTML arbitrarias en las páginas: "experiments.php" (modo de visualización), "database.php" (modo de visualización) o "search.php". Funciona proporcionando código HTML en la cadena de búsqueda extendida, que luego se mostrará al usuario en el mensaje de error. Esto significa que el HTML inyectado aparecerá en un cuadro rojo de "alerta/peligro" y será parte de un mensaje de error. Debido a otras medidas de seguridad, no es posible ejecutar javascript arbitrario desde este ataque. Como tal, este ataque se considera de bajo impacto. Los usuarios deben actualizar al menos a la versión 5.1.5 para recibir un parche. No se workarounds disponibles.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno