Vulnerabilidad en los elementos OPTION en bootstrap-select (CVE-2019-20921)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
30/09/2020
Última modificación:
25/11/2024
Descripción
bootstrap-select versiones anteriores a 1.13.6, permite un ataque de tipo Cross-Site Scripting (XSS). No escapa a los valores del título en los elementos OPTION. Esto puede permitir a atacantes ejecutar JavaScript arbitrario en el navegador de la víctima
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:snapappointments:bootstrap-select:*:*:*:*:*:node.js:*:* | 1.13.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/advisories/GHSA-9r7h-6639-v5mw
- https://github.com/snapappointments/bootstrap-select/issues/2199
- https://issues.jtl-software.de/issues/SHOP-7964
- https://snyk.io/vuln/SNYK-JS-BOOTSTRAPSELECT-570457
- https://www.npmjs.com/advisories/1522
- https://github.com/advisories/GHSA-9r7h-6639-v5mw
- https://github.com/snapappointments/bootstrap-select/issues/2199
- https://snyk.io/vuln/SNYK-JS-BOOTSTRAPSELECT-570457
- https://www.npmjs.com/advisories/1522