Vulnerabilidad en Revive Adserver (CVE-2016-9471)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/03/2017

Última modificación:

20/04/2025

Descripción

Revive Adserver en versiones anteriores a 3.2.5 y 4.0.0 sufre de inyección de elemento especial. Los nombres de usuario no se desinfectaron correctamente al crear usuarios en una instancia de Revive Adserver. Especialmente, los caracteres de control no fueron filtrados, permitiendo que los nombres de usuario aparentemente idénticos coexistan en el sistema, debido al hecho de que tales caracteres normalmente se ignoran cuando una página HTML se muestra en un navegador. El problema podría por lo tanto haber sido explotado para la falsificación de usuarios, aunque se requieren privilegios elevados para crear usuarios dentro de Revive Adserver.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.10

Gravedad 3.x

BAJA

Vector 2.0

AV:N/AC:H/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:N/AC:H/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno