Múltiples vulnerabilidades en NXLog Manager
Fecha de publicación 31/05/2023
Importancia
3 - Media
Recursos Afectados
NXLog Manager, versión 5.6.5633
Descripción
INCIBE ha coordinado la publicación de 3 vulnerabilidades en NXLog Manager, una consola de gestión y supervisión de agentes, que han sido descubiertas por Juampa Rodríguez.
A estas vulnerabilidades se les han asignado los códigos:
- CVE-2023-32790:
- Puntuación base CVSS v3.1: 4,6.
- Cálculo del CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L.
- Tipo de vulnerabilidad: CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).
- CVE-2023-32791:
- Puntuación base CVSS v3.1: 6,5.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
- Tipo de vulnerabilidad: CWE-352: falsificación de solicitud entre sitios (Cross-Site Request Forgery)
- CVE-2023-32792:
- Puntuación base CVSS v3.1: 6,5
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
- Tipo de vulnerabilidad: CWE-352: falsificación de solicitud entre sitios (Cross-Site Request Forgery)
Solución
No se ha identificado una solución por el momento.
Detalle
- CVE-2023-32790: vulnerabilidad de Cross-Site Scripting (XSS) en NXLog Manager. Esta vulnerabilidad permite a un atacante inyectar una carga maliciosa de JavaScript en el campo 'Nombre completo' durante la edición de un usuario, debido a la desinfección inadecuada del parámetro de entrada.
CVE-2023-32791: vulnerabilidad Cross-Site Request Forgery (CSRF) en NXLog Manager. Esta vulnerabilidad permite a un atacante manipular y eliminar cuentas de usuario dentro de la plataforma mediante el envío de una consulta específicamente diseñada al servidor. La vulnerabilidad se basa en la ausencia de una correcta validación del origen de las peticiones entrantes. - CVE-2023-32792: vulnerabilidad Cross-Site Request Forgery (CSRF) en NXLog Manager. Esta vulnerabilidad permite a un atacante eliminar los roles dentro de la plataforma enviando una consulta específicamente diseñada al servidor. La vulnerabilidad se basa en la ausencia de una correcta validación del origen de las peticiones entrantes.
Listado de referencias
Etiquetas