Vulnerabilidad en el módulo XMonad.Hooks.DynamicLog en xmonad-contrib (CVE-2013-1436)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
06/10/2014
Última modificación:
12/04/2025
Descripción
El módulo XMonad.Hooks.DynamicLog en xmonad-contrib anterior a 0.11.2 permite a atacantes remotos ejecutar comandos arbitrarios a través de un titulo de página web, lo que activa los comandos cuando el usuarios cliquea el titulo de la ventana xmobar, tal y como fue demostrado al utilizar una etiqueta de acción.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xmonad:xmonad-contrab:*:*:*:*:*:*:*:* | 0.11.1 (incluyendo) | |
| cpe:2.3:a:xmonad:xmonad-contrab:0.11:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://handra.rampa.sk/dawb/patch?repoPURL=http%3A//code.haskell.org/XMonadContrib&repoPHash=20130708144813-1499c-0c3e284d3523c0694b9423714081761813bc1e89
- http://security.gentoo.org/glsa/glsa-201405-28.xml
- http://www.openwall.com/lists/oss-security/2013/07/26/5
- http://www.securityfocus.com/bid/61491
- http://handra.rampa.sk/dawb/patch?repoPURL=http%3A//code.haskell.org/XMonadContrib&repoPHash=20130708144813-1499c-0c3e284d3523c0694b9423714081761813bc1e89
- http://security.gentoo.org/glsa/glsa-201405-28.xml
- http://www.openwall.com/lists/oss-security/2013/07/26/5
- http://www.securityfocus.com/bid/61491