Vulnerabilidad en Jim Hu y Chad Little PHP iCalendar (CVE-2006-6824)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/12/2006
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Jim Hu y Chad Little PHP iCalendar 2.23 rc1 y versiones anteriores permite a atacantes remotos inyectar scripts web o HTML de su elección a través de los parámetros (1) getdate en (a) day.php, (b) month.php, (c) year.php, (d) week.php, (e) search.php, (f) rss/index.php, (g) print.php, and (h) preferences.php; (2) cpath en (i) day.php, (j) month.php, (k) year.php, (l) week.php, and (m) search.php; (3) query en search.php; y posiblemente cpath, (4) unset, y (5) set en una acción setcookie en preferences.php; vectores diferentes a CVE-2006-3319. NOTA: posteriormente se ha informado que los vectores b, c y d también afectan a la v2.24.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:php_icalendar:php_icalendar:*:*:*:*:*:*:*:* | 2.23_rc1 (incluyendo) | |
| cpe:2.3:a:php_icalendar:php_icalendar:1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:php_icalendar:php_icalendar:2.2_beta:*:*:*:*:*:*:* | ||
| cpe:2.3:a:php_icalendar:php_icalendar:2.22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:php_icalendar:php_icalendar:2.24:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lostmon.blogspot.com/2006/12/php-icalendar-multiple-variable-cross.html
- http://secunia.com/advisories/23499
- http://securitytracker.com/id?1017449=
- http://www.osvdb.org/32493
- http://www.osvdb.org/32494
- http://www.osvdb.org/32495
- http://www.osvdb.org/32496
- http://www.osvdb.org/32497
- http://www.osvdb.org/32498
- http://www.osvdb.org/32499
- http://www.osvdb.org/32500
- http://www.securityfocus.com/archive/1/485397/100/200/threaded
- http://www.securityfocus.com/bid/21792
- https://exchange.xforce.ibmcloud.com/vulnerabilities/31146
- http://lostmon.blogspot.com/2006/12/php-icalendar-multiple-variable-cross.html
- http://secunia.com/advisories/23499
- http://securitytracker.com/id?1017449=
- http://www.osvdb.org/32493
- http://www.osvdb.org/32494
- http://www.osvdb.org/32495
- http://www.osvdb.org/32496
- http://www.osvdb.org/32497
- http://www.osvdb.org/32498
- http://www.osvdb.org/32499
- http://www.osvdb.org/32500
- http://www.securityfocus.com/archive/1/485397/100/200/threaded
- http://www.securityfocus.com/bid/21792
- https://exchange.xforce.ibmcloud.com/vulnerabilities/31146