Vulnerabilidad en kiwi (CVE-2022-4105)
Severidad:
MEDIA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/11/2022
Última modificación:
23/11/2022
Descripción
Un XSS almacenado en un Plan de Prueba de kiwi puede ejecutar javascript malicioso que podría encadenarse con una inyección de HTML para realizar un ataque de reparación de la interfaz de usuario (clickjacking) y una inyección de HTML que deshabilita el uso de la página del historial.
Impacto
Puntuación base 3.x
5.40
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:kiwitcms:kiwi_tcms:*:*:*:*:*:*:*:* | 11.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página