Cross-Site Scripting en Alumne LMS
Fecha de publicación 28/11/2023
Importancia
3 - Media
Recursos Afectados
Alumne LMS, versión 4.0.0.1.08.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta la plataforma de e-learning Alumne LMS en su versión 4.0.0.1.08, que ha sido descubierta por Ignacio Lis Malagón.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-6359: CVSS v3.1: 5.4 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
La vulnerabilidad ha sido corregida en la versión de Alumne LMS 4.0.0.1.44.
Detalle
- CVE-2023-6359: se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) en Alumne LMS que afecta a la versión 4.0.0.1.08. Un atacante podría explotar el parámetro 'localidad' para inyectar una carga útil JavaScript personalizada y tomar parcialmente la sesión del navegador de otro usuario, debido a la falta de saneamiento adecuado del campo 'localidad' en la página /usuarios/editmy.
Listado de referencias
Etiquetas
