Vulnerabilidad en Telerik UI para ASP.NET AJAX RadEditor control (CVE-2014-4958)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/09/2014
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de XSS en Telerik UI para ASP.NET AJAX RadEditor control 2014.1.403.35, 2009.3.1208.20 y otras versiones permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de expresiones CCS en atributos de estilo.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:telerik:asp.net_ajax_radeditor_control:*:*:*:*:*:*:*:* | 2014.1.403.35 (incluyendo) | |
| cpe:2.3:a:telerik:asp.net_ajax_radeditor_control:2009.3.1208.20:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blogs.telerik.com/blogs/14-09-24/securing-radeditor-content-and-preventing-xss-attacks
- http://maverickblogging.com/disclosing-cve-2014-4958-stored-attribute-based-cross-site-scripting-xss-vulnerability-in-telerik-ui-for-asp-net-ajax-radeditor-control/
- http://packetstormsecurity.com/files/128414/Telerik-ASP.NET-AJAX-RadEditor-Control-2014.1.403.35-XSS.html
- http://www.securityfocus.com/archive/1/533537/30/0/threaded
- http://blogs.telerik.com/blogs/14-09-24/securing-radeditor-content-and-preventing-xss-attacks
- http://maverickblogging.com/disclosing-cve-2014-4958-stored-attribute-based-cross-site-scripting-xss-vulnerability-in-telerik-ui-for-asp-net-ajax-radeditor-control/
- http://packetstormsecurity.com/files/128414/Telerik-ASP.NET-AJAX-RadEditor-Control-2014.1.403.35-XSS.html
- http://www.securityfocus.com/archive/1/533537/30/0/threaded