Vulnerabilidad en la línea 83 del archivo dbhcms\mod\mod.menus.edit.php y en la línea 111 del archivo dbhcms\mod\mod.menus.view.php en la función htmlspecialchars en la variable "menu_description" en DBHcms (CVE-2020-19882)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/08/2020
Última modificación:
25/08/2020
Descripción
DBHcms versión v1.2.0, presenta una vulnerabilidad de tipo xss almacenado ya que no se presenta una función htmlspecialchars para la variable "menu_description" en la línea 83 del archivo dbhcms\mod\mod.menus.edit.php y en la línea 111 del archivo dbhcms\mod\mod.menus.view.php, un usuario remoto autenticado con administración puede explotar esta vulnerabilidad para secuestrar a otros usuarios.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dbhcms_project:dbhcms:1.2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página