Vulnerabilidad en los parámetros filename, displayname, files, target y el encabezado Host en Collaborate, Deletemultiple, Share y Waitedit en la Interfaz Web de Usuario en ProVide (CVE-2020-11702)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

12/04/2020

Última modificación:

13/04/2020

Descripción

Se detectó un problema en ProVide (anteriormente zFTPServer) versiones hasta 13.1. La Interfaz Web de Usuario presenta múltiples problemas de tipo XSS Almacenado y Reflejado. Collaborate es Reflejada por medio del parámetro filename. Collaborate es Almacenada por medio del parámetro displayname. Deletemultiple es Reflejada por medio del parámetro files. Share es Reflejada por medio del parámetro target. Share es Almacenada por medio del parámetro displayname. Waitedit es Reflejada por medio del encabezado Host.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno