Vulnerabilidad en módulo Joomulus para Joomla! (CVE-2009-4168)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/12/2009
Última modificación:
09/04/2025
Descripción
Vulnerabilidad de tipo cross-site scripting (XSS) en el archivo tagcloud.swf, tal como es usado en el plugin WP-Cumulus de Roy Tanck anterior a versión 1.23 para WordPress y la versión 2.0 y anterior del módulo Joomulus para Joomla!, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro tagcloud en una acción tags. La vulnerabilidad de tipo cross-site scripting (XSS) en tagcloud.swf en el plug-in WP-Cumulus anterior a versión 1.23 para WordPress, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro tagcloud.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:roytanck:wp-cumulus:*:*:*:*:*:*:*:* | 1.22 (incluyendo) | |
| cpe:2.3:a:roytanck:wp-cumulus:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.01:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.02:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.03:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.04:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.05:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.13:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:roytanck:wp-cumulus:1.16:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.org/1001-exploits/joomlajvclouds-xss.txt
- http://secunia.com/advisories/37483
- http://secunia.com/advisories/38161
- http://websecurity.com.ua/3665/
- http://websecurity.com.ua/3789/
- http://websecurity.com.ua/3801/
- http://websecurity.com.ua/3839/
- http://www.roytanck.com/2009/11/15/wp-cumulus-updated-to-address-yet-another-security-issue/
- http://www.securityfocus.com/archive/1/508071/100/0/threaded
- http://www.securityfocus.com/archive/1/508606/100/0/threaded
- http://www.securityfocus.com/archive/1/508833/100/0/threaded
- http://www.securityfocus.com/bid/37100
- http://www.securityfocus.com/bid/37479
- http://www.vupen.com/english/advisories/2009/3322
- https://exchange.xforce.ibmcloud.com/vulnerabilities/54397
- https://exchange.xforce.ibmcloud.com/vulnerabilities/55156
- http://packetstormsecurity.org/1001-exploits/joomlajvclouds-xss.txt
- http://secunia.com/advisories/37483
- http://secunia.com/advisories/38161
- http://websecurity.com.ua/3665/
- http://websecurity.com.ua/3789/
- http://websecurity.com.ua/3801/
- http://websecurity.com.ua/3839/
- http://www.roytanck.com/2009/11/15/wp-cumulus-updated-to-address-yet-another-security-issue/
- http://www.securityfocus.com/archive/1/508071/100/0/threaded
- http://www.securityfocus.com/archive/1/508606/100/0/threaded
- http://www.securityfocus.com/archive/1/508833/100/0/threaded
- http://www.securityfocus.com/bid/37100
- http://www.securityfocus.com/bid/37479
- http://www.vupen.com/english/advisories/2009/3322
- https://exchange.xforce.ibmcloud.com/vulnerabilities/54397
- https://exchange.xforce.ibmcloud.com/vulnerabilities/55156