Vulnerabilidad en Confluence (CVE-2019-13127)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
01/07/2019
Última modificación:
17/06/2026
Descripción
Se ha descubierto un fallo en mxGraph hasta la versión 4.0.0, relacionado con el plugin "Draw.io Diagrams" en versiones anteriores a la 8.3.14 para Confluence y otros productos. La validación/saneamiento de entrada incorrecta de un campo de color conduce a un Cross-Site Scripting (XSS). Esto está asociado con javascript/examples/grapheditor/www/js/Dialogs.js.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:draw:draw.io_diagrams:*:*:*:*:*:confluence:*:* | 8.3.14 (excluyendo) | |
| cpe:2.3:a:jgraph:mxgraph:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jgraph/mxgraph/commit/76e8e2809b622659a9c5ffdc4f19922b7a68cfa3
- https://marketplace.atlassian.com/apps/1210933/draw-io-diagrams-for-confluence/version-history
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2019-032.txt
- https://github.com/jgraph/mxgraph/commit/76e8e2809b622659a9c5ffdc4f19922b7a68cfa3
- https://marketplace.atlassian.com/apps/1210933/draw-io-diagrams-for-confluence/version-history
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2019-032.txt



