Múltiples vulnerabilidades en OpenCms de Alkacon Software
Fecha de publicación 29/11/2023
Importancia
3 - Media
Recursos Afectados
- Open CMS, versiones 14 y 15.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a OpenCms de Alkacon Software, un sistema de gestión de contenidos web de código abierto, las cuales han sido descubiertas por Miguel Segovia Gil.
A estas vulnerabilidades se les ha asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
- CVE-2023-6379: CVSS v3.1: 5.4 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | CWE-79.
- CVE-2023-6380: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-601.
Solución
Las vulnerabilidades se han solucionado en la versión 16 de OpenCms.
Detalle
- CVE-2023-6379: vulnerabilidad de Cross-Site scripting (XSS) en Alkacon Software Open CMS, que afecta a las versiones 14 y 15 de la plantilla 'Mercury'. Esta vulnerabilidad podría permitir a un atacante remoto enviar una carga útil JavaScript, especialmente diseñada, a una víctima y tomar parcialmente el control de su sesión de navegación.
- CVE-2023-6380: vulnerabilidad de redirección abierta se ha encontrado en el producto Open CMS que afecta a las versiones 14 y 15 de la plantilla 'Mercury'. Un atacante podría crear una dirección URL especialmente diseñada y enviarla a un usuario específico para redirigirlo a un sitio malicioso y comprometerlo. La explotación de esta vulnerabilidad es posible debido al hecho de que no hay un saneamiento adecuado del parámetro 'URI'.
Listado de referencias
Etiquetas
