Vulnerabilidad en el parámetro "name" en el endpoint "noticeWizard" en OpenNMS Horizon y OpenNMS Meridian (CVE-2021-25929)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/05/2021
Última modificación:
30/04/2025
Descripción
En OpenNMS Horizon, versiones opennms-1-0-stable hasta opennms-27.1.0-1; OpenNMS Meridian, versiones meridian-foundation-2015.1.0-1 hasta meridian-foundation-2019.1.18-1; versiones meridian-foundation-2020.1.0-1 hasta meridian-foundation-2020.1.6-1, son vulnerables a ataque de tipo Cross-Site Scripting almacenado, ya que no presenta comprobación en la entrada que ha sido enviada al parámetro "name" en el endpoint "noticeWizard". Debido a este fallo, un atacante autenticado podría inyectar un script arbitrario y engañar a otros usuarios administradores para que descarguen archivos maliciosos
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opennms:horizon:*:*:*:*:*:*:*:* | 1.0 (incluyendo) | 27.1.1 (excluyendo) |
| cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* | 2015.1.0 (incluyendo) | 2019.1.19 (excluyendo) |
| cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* | 2020.1.0 (incluyendo) | 2020.1.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/OpenNMS/opennms/commit/66c1f626bf38a7d1a9530b4d68598269ee5245a2
- https://github.com/OpenNMS/opennms/commit/eb08b5ed4c5548f3e941a1f0d0363ae4439fa98c
- https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25929
- https://github.com/OpenNMS/opennms/commit/66c1f626bf38a7d1a9530b4d68598269ee5245a2
- https://github.com/OpenNMS/opennms/commit/eb08b5ed4c5548f3e941a1f0d0363ae4439fa98c
- https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25929