Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro ParticipantAttributeNamesDropdown en la página central de la base de datos de participantes en LimeSurvey (CVE-2020-25798)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
17/11/2020
Última modificación:
27/11/2020

Descripción

Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en LimeSurvey versiones anteriores e incluyendo a 3.21.1, permite a usuarios autenticados con los permisos correctos inyectar script web o HTML arbitrario por medio del parámetro ParticipantAttributeNamesDropdown de los Atributos en la página central de la base de datos de participantes. Cuando el atributo de la encuesta es editada o visualizada, por ejemplo, por un usuario administrativo, el código JavaScript será ejecutado en el navegador

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:limesurvey:limesurvey:*:*:*:*:*:*:*:* 3.21.1 (incluyendo)