Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro role_name o role_descr en el URI roles/ en Observium Professional, Enterprise & Community (CVE-2020-25131)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/09/2020
Última modificación:
30/09/2020

Descripción

Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante el parámetro role_name o role_descr en el URI roles/

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:observium:observium:20.8.10631:*:*:*:community:*:*:*
cpe:2.3:a:observium:observium:20.8.10631:*:*:*:enterprise:*:*:*
cpe:2.3:a:observium:observium:20.8.10631:*:*:*:professional:*:*:*


Referencias a soluciones, herramientas e información