Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Movable Type (CVE-2012-0317)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
03/03/2012
Última modificación:
11/04/2025

Descripción

Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Movable Type anteriores 4.38, 5.0x anteriores 5.07, y 5.1x anteriores 5.13. Permiten a usuarios remotos secuestrar (hijack) la autenticación de usuarios aleatorios a través de las peticiones que modifican datos de (1) la opción de comentarios ("commenting feature") o (2) "community script".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sixapart:movable_type:*:*:open_source:*:*:*:*:* 4.37 (incluyendo)
cpe:2.3:a:sixapart:movable_type:4.28:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:4.29:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:4.36:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:4.291:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:4.292:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:4.361:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.0:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.01:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.1:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.02:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.04:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.05:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.06:*:open_source:*:*:*:*:*
cpe:2.3:a:sixapart:movable_type:5.11:*:open_source:*:*:*:*:*