Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la inyección de expresión AngularJS en el campo Nombre para mostrar. (CVE-2017-5246)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
18/07/2017
Última modificación:
20/04/2025

Descripción

Biscom Secure File Transfer es vulnerable a la inyección de expresión AngularJS en el campo Nombre para mostrar. Un usuario autenticado puede llenar este campo con una expresión AngularJS válida, envuelta en llaves dobles ({{}}). Esta expresión será evaluada por cualquier otro usuario autenticado que vea el nombre para mostrar del atacante. Las versiones afectadas son 5.0.0000 a 5.1.1026. El problema se solucionó en 5.1.1028.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:biscom:secure_file_transfer:-:*:*:*:*:*:*:*