Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PHP Management Panel de Xavier (CVE-2019-14228)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/07/2019
Última modificación:
17/06/2026

Descripción

PHP Management Panel de Xavier versión 3.0, es vulnerable a un XSS basado en POST Reflejado por medio del parámetro username al registrar un nuevo usuario en el archivo admin/includes/adminprocess.php. Si se presenta un error al registrar al usuario, el nombre de usuario no saneado se reflejará por medio de la página de error. Debido a la falta de protección CSRF en el endpoint del archivo admin/includes/adminprocess.php, un atacante es capaz de encadenar el XSS con CSRF para causar una explotación remota.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:angry-frog:xavier:3.0:*:*:*:*:*:*:*