Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Los diferentes parámetros en Openfiler (CVE-2014-4309)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/06/2014
Última modificación:
12/04/2025

Descripción

Múltiples vulnerabilidades de tipo cross-site-scripting (XSS) en Openfiler versión 2.99, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) TinkerAjax en el archivo uptime.html, o a los usuarios autenticados remotamente inyectar script web o HTML arbitrario por medio del parámetro (2) MaxInstances, (3) PassivePorts, (4) Port, (5) ServerName, (6) TimeoutLogin, (7) TimeoutNoTransfer o (8) TimeoutStalled en el archivo admin/services_ftp.html; el parámetro (9) dns1 o (10) dns2 en el archivo admin/system.html; el parámetro (11) newTgtName en el archivo admin/volumes_iscsi_targets.html; el encabezado HTTP User-Agent en el archivo (12) language.html, (13) login.html o (14) password.html en account/; o el encabezado HTTP User-Agent en el archivo (15) account_groups.html, (16) account_users.html, (17) services.html, (18) services_ftp.html, (19) services_iscsi_target.html, (20) services_rsync.html, (21) system_clock.html, (22) system_info.html, (23) system_ ups.html, (24) volumes_editpartitions.html o (25) volumes_iscsi_targets.html en admin/.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openfiler:openfiler:2.99:*:*:*:*:*:*:*