Vulnerabilidad en Atlassian Application Links (CVE-2017-16860)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/05/2018
Última modificación:
19/06/2018
Descripción
La plantilla invalidRedirectUrl en Atlassian Application Links en versiones anteriores a la 5.2.7, desde la versión 5.3.0 hasta la 5.3.4 y desde la 5.4.0 hasta la 5.4.3 permite que los atacantes remotos inyecten código JavaScript o HTML arbitrario mediante una vulnerabilidad Cross-Site Scripting (XSS) en el enlace del parámetro redirectUrl en el mensaje de advertencia de redirección.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* | 5.2.7 (excluyendo) | |
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* | 5.3.0 (incluyendo) | 5.3.4 (excluyendo) |
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* | 5.4.0 (incluyendo) | 5.4.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página