Vulnerabilidad en Microsoft Windows 2000, XP y Server 2003 (CVE-2009-2519)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
08/09/2009
Última modificación:
09/04/2025
Descripción
El control ActiveX "DHTML Editing Component" en Microsoft Windows 2000 SP4, XP SP2 y SP3, y Server 2003 SP2 no da formato adecuado a las marcas HTML, permitiendo a atacantes remotos ejecutar código de su elección mediante un sitio web manipulado que provoca una corrupción "system state", también conocido como "DHTML Editing Component ActiveX Control Vulnerability".
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:microsoft:windows_2000:-:sp4:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:*:sp2:professional_x64:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:-:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows_xp:-:sp3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/36592
- http://www.securityfocus.com/bid/36280
- http://www.securitytracker.com/id?1022843=
- http://www.us-cert.gov/cas/techalerts/TA09-251A.html
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-046
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6271
- http://secunia.com/advisories/36592
- http://www.securityfocus.com/bid/36280
- http://www.securitytracker.com/id?1022843=
- http://www.us-cert.gov/cas/techalerts/TA09-251A.html
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-046
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6271