Vulnerabilidad en aplicación Magento (CVE-2009-0541)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/02/2009

Última modificación:

09/04/2025

Descripción

Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados en Magento v1.2.0 y v1.2.1.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (1) el campo "username" en una petición admin/ a index.php, posiblemente relacionado con el parámetro "login[username]" y la función de login app/code/core/Mage/Admin/Model/Session.php; (2) al campo "email address" en una petición admin/index/forgotpassword/ a index.php, posiblemente relacionado con el parámetro "email" y la función app/code/core/Mage/Adminhtml/controllers/IndexController.php forgotpasswordAction; o (3) el parámetro "return" a la URI por defecto bajo downloader/.

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno