Vulnerabilidad en la función zen_breadcrumb en el archivo template.php (CVE-2013-4275)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/11/2019
Última modificación:
18/11/2019
Descripción
Vulnerabilidad de tipo Cross-Site Scripting (XSS) en la función zen_breadcrumb en el archivo template.php en el tema Zen versiones 6.x-1.x, versiones 7.x-3.x anteriores a la versión 7.x-3.2 y versiones 7.x-5.x anteriores a la versión 7.x-5.4 para Drupal, permite a usuarios autenticados remotos con el permiso "administer themes" para inyectar script web o HTML arbitrario por medio del campo breadcrumb separator.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zen_project:zen:*:*:*:*:*:drupal:*:* | 6.x-1.0 (incluyendo) | 6.x-1.3 (incluyendo) |
| cpe:2.3:a:zen_project:zen:*:*:*:*:*:drupal:*:* | 7.x-3.0 (incluyendo) | 7.x-3.2 (excluyendo) |
| cpe:2.3:a:zen_project:zen:*:*:*:*:*:drupal:*:* | 7.x-5.0 (incluyendo) | 7.x-5.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://seclists.org/fulldisclosure/2013/Aug/226
- http://www.madirish.net/?article=452
- http://www.openwall.com/lists/oss-security/2013/08/22/2
- http://www.securityfocus.com/bid/61922
- https://drupal.org/node/2071055
- https://drupal.org/node/2071065
- https://drupal.org/node/2071157
- https://drupal.org/node/754000