Vulnerabilidad de Cross-Site Scripting (XSS) en WideStand CMS de Acilia
Fecha de publicación 02/08/2023
Importancia
3 - Media
Recursos Afectados
Widestand CMS, versiones 5.3.5 e inferiores.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a WideStand CMS, una solución CMS profesional desarrollada por Acilia y basado en el framework Symfony, la cual ha sido descubierta por Ángel Heredia Pérez, de Telefónica Tech.
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-4090:
- Puntuación base CVSS v3.1: 5.4.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N.
- Tipo de vulnerabilidad: CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).
Solución
No hay solución reportada por el momento.
Detalle
CVE-2023-4090: vulnerabilidad de Cross-site Scripting (XSS) reflejado en WideStand hasta la versión 5.3.5, el cual genera una de las etiquetas meta directamente utilizando el contenido de la URL consultada, lo que permitiría a un atacante inyectar código HTML/Javascript en la respuesta.
Listado de referencias
Etiquetas
