Vulnerabilidad en Suite de aplicaciones de enseñanza Dokeos (CVE-2009-2006)

Gravedad CVSS v2.0:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

08/06/2009

Última modificación:

09/04/2025

Descripción

Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Dokeos v1.8.5, y posiblemente versiones anteriores, permiten a usuarios remotos inyectar codigo web script o código HTML a través de (1) el parámetro search_term de main/auth/courses.php, (2) los parámetros frm_title y (3) frm_content en una acción de objeto de nueva agenda personal, (4) el parámetro title y (5) tutor_name en una acción de nuevo curso y (6) los parámetros student y (7) course de main/mySpace/myStudents.php. NOTA: los vectores de ataque (2) y (3) sólo pueden ser explotados a través de una vulnerabilidad distinta de falsificación de petición en sitios cruzados (CSRF).

Impacto

Vector 2.0

AV:N/AC:H/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno