Vulnerabilidad en HyperView Geoportal Toolkit (CVE-2024-6449)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/08/2024
Última modificación:
12/09/2024
Descripción
HyperView Geoportal Toolkit en las versiones 8.2.4 no restringe las solicitudes entre dominios cuando se obtiene contenido remoto indicado por uno de los parámetros de solicitud GET. Un atacante remoto no autenticado puede preparar enlaces que, al abrirse, cargarán scripts desde una ubicación remota controlada por el atacante y los ejecutarán en el espacio del usuario. Al manipular este parámetro, también es posible enumerar algunos de los dispositivos en la red de área local en la que reside el servidor.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:hyperview:geoportal_toolkit:*:*:*:*:*:*:*:* | 8.5.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página