Vulnerabilidad en la interfaz de usuario web en Sophos Anti-Virus para Linux (CVE-2014-2385)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/07/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de XSS en la interfaz de usuario web en Sophos Anti-Virus para Linux anterior a 9.6.1 permiten a usuarios locales inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro (1) newListList:ExcludeFileOnExpression, (2) newListList:ExcludeFilesystems o (3) newListList:ExcludeMountPaths en exclusion/configure o el parámetro (4) text:EmailServer o (5) newListList:Email en notification/configure.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sophos:anti-virus:*:*:*:*:*:linux_kernel:*:* | 9.5.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/127228/Sophos-Antivirus-9.5.1-Cross-Site-Scripting.html
- http://seclists.org/fulldisclosure/2014/Jun/126
- http://www.securityfocus.com/archive/1/532558/100/0/threaded
- http://www.securitytracker.com/id/1030467
- http://www.sophos.com/en-us/support/knowledgebase/121135.aspx
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2385/
- http://packetstormsecurity.com/files/127228/Sophos-Antivirus-9.5.1-Cross-Site-Scripting.html
- http://seclists.org/fulldisclosure/2014/Jun/126
- http://www.securityfocus.com/archive/1/532558/100/0/threaded
- http://www.securitytracker.com/id/1030467
- http://www.sophos.com/en-us/support/knowledgebase/121135.aspx
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2385/