Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un grupo de encuesta en cuenta SuperAdmin en LimeSurvey (CVE-2019-16172)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/09/2019
Última modificación:
13/02/2023

Descripción

LimeSurvey versiones anteriores a v3.17.14, permite un ataque de tipo XSS almacenado para escalar los privilegios desde una cuenta con pocos privilegios para, por ejemplo, SuperAdmin. El ataque utiliza un grupo de encuesta en el que el título contiene JavaScript que es manejado inapropiadamente tras eliminar el grupo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:limesurvey:limesurvey:*:*:*:*:*:*:*:* 3.17.4 (excluyendo)