Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una petición POST en el navegador en MindPalette NateMail (CVE-2019-13392)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/10/2019
Última modificación:
18/10/2019

Descripción

Una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en MindPalette NateMail versión 3.0.15, permite a un atacante ejecutar JavaScript remoto en el navegador de una víctima por medio de una petición POST especialmente diseñada. La aplicación reflejará el valor del destinatario si no está en la matriz de destinatarios NateMail. Tenga en cuenta que esta matriz está codificada por medio de enteros por defecto, por lo que cualquier entrada de cadena será no válida.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mindpalette:natemail:3.0.15:*:*:*:*:*:*:*