Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro "name" en el endpoint "noticeWizard" en OpenNMS Horizon y OpenNMS Meridian (CVE-2021-25929)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/05/2021
Última modificación:
30/04/2025

Descripción

En OpenNMS Horizon, versiones opennms-1-0-stable hasta opennms-27.1.0-1; OpenNMS Meridian, versiones meridian-foundation-2015.1.0-1 hasta meridian-foundation-2019.1.18-1; versiones meridian-foundation-2020.1.0-1 hasta meridian-foundation-2020.1.6-1, son vulnerables a ataque de tipo Cross-Site Scripting almacenado, ya que no presenta comprobación en la entrada que ha sido enviada al parámetro "name" en el endpoint "noticeWizard". Debido a este fallo, un atacante autenticado podría inyectar un script arbitrario y engañar a otros usuarios administradores para que descarguen archivos maliciosos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:opennms:horizon:*:*:*:*:*:*:*:* 1.0 (incluyendo) 27.1.1 (excluyendo)
cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* 2015.1.0 (incluyendo) 2019.1.19 (excluyendo)
cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* 2020.1.0 (incluyendo) 2020.1.7 (excluyendo)