Múltiples vulnerabilidades en Amazing Little Poll
Fecha de publicación 13/12/2023
Importancia
5 - Crítica
Recursos Afectados
- Amazing Little poll, versiones 1.3 y 1.4.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Amazing Little Poll, un script en PHP para la generación de encuestas, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
- CVE-2023-6768: CVSS v3.1: 9.4 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-287.
- CVE-2023-6769: CVSS v3.1: 6.5 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
Detalle
- CVE-2023-6768: vulnerabilidad de omisión de autenticación en Amazing Little Poll que afecta a las versiones 1.3 y 1.4. Esta vulnerabilidad podría permitir que un usuario, no autenticado, acceda al panel de administración sin proporcionar ninguna credencial, simplemente accediendo al parámetro "lp_admin.php?adminstep=".
- CVE-2023-6769: vulnerabilidad XSS almacenada en Amazing Little Poll, que afecta a las versiones 1.3 y 1.4. Esta vulnerabilidad permite a un atacante remoto almacenar una carga útil de JavaScript maliciosa en el archivo "lp_admin.php" en los parámetros "question" e "item". Esta vulnerabilidad podría provocar una ejecución maliciosa de JavaScript mientras se carga la página.
Listado de referencias
Etiquetas
