Vulnerabilidad en gravatars/templatetags/gravatars.py en Djblets para Django (CVE-2014-3995)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/06/2014
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de XSS en gravatars/templatetags/gravatars.py en Djblets anterior a 0.7.30 y 0.8.x anterior a 0.8.3 para Django permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de pantalla de usuario.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:reviewboard:djblets:*:*:*:*:*:*:*:* | 0.7.29 (incluyendo) | |
| cpe:2.3:a:reviewboard:djblets:0.7.27:*:*:*:*:*:*:* | ||
| cpe:2.3:a:reviewboard:djblets:0.7.28:*:*:*:*:*:*:* | ||
| cpe:2.3:a:reviewboard:djblets:0.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:reviewboard:djblets:0.8.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://seclists.org/oss-sec/2014/q2/494
- http://seclists.org/oss-sec/2014/q2/498
- http://secunia.com/advisories/58691
- https://github.com/djblets/djblets/commit/50000d0bbb983fa8c097b588d06b64df8df483bd
- https://github.com/djblets/djblets/commit/77ac64642ad530bf69e390c51fc6fdcb8914c8e7
- https://github.com/djblets/djblets/commit/e2c79117efd925636acd871a5f473512602243cf
- http://seclists.org/oss-sec/2014/q2/494
- http://seclists.org/oss-sec/2014/q2/498
- http://secunia.com/advisories/58691
- https://github.com/djblets/djblets/commit/50000d0bbb983fa8c097b588d06b64df8df483bd
- https://github.com/djblets/djblets/commit/77ac64642ad530bf69e390c51fc6fdcb8914c8e7
- https://github.com/djblets/djblets/commit/e2c79117efd925636acd871a5f473512602243cf