Vulnerabilidad en la página de temas recientes en Zulip (CVE-2022-23656)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

02/03/2022

Última modificación:

09/03/2022

Descripción

Zulip es una aplicación de chat en equipo de código abierto. La rama de desarrollo "main" de Zulip Server de junio de 2021 y posteriores, es susceptible a una vulnerabilidad de tipo cross-site scripting en la página de temas recientes. Un atacante podría diseñar maliciosamente un nombre completo para su cuenta y enviar mensajes a un tema con varios participantes; una víctima que abra un tooltip de desbordamiento que incluya este nombre completo en la página de temas recientes podría desencadenar una ejecución de código JavaScript controlado por el atacante. Los usuarios que ejecuten un servidor Zulip desde la rama principal deben actualizar desde la principal (01-03-2022 o posterior) de nuevo para implementar esta corrección

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno