Vulnerabilidad en el parámetro /DXR.axd?r= HTTP GET en DevExpress Resource Handler en en DevExpress ASP.NET Web Forms (CVE-2022-41479)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/10/2022
Última modificación:
15/05/2025
Descripción
DevExpress Resource Handler (ASPxHttpHandlerModule) en DevExpress ASP.NET Web Forms versión v19.2.3, no verifica los objetos referenciados en el parámetro /DXR.axd?r= HTTP GET. Esto conlleva a una vulnerabilidad de Referencias Directas a Objetos Inseguros (IDOR) que permite a atacantes acceder al código fuente de la aplicación
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:devexpress:asp.net_web_forms_controls:19.2.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/IthacaLabs/DevExpress/tree/main/ASP.NET_Web_Forms_Build_19.2.3
- https://supportcenter.devexpress.com/ticket/details/t1171808/penetration-test-idor-source-code-cve-2022-41479
- https://supportcenter.devexpress.com/ticket/details/t190349/false-positive-vulnerabilities-known-alerts-detected-by-various-security-scanners-and
- https://github.com/IthacaLabs/DevExpress/tree/main/ASP.NET_Web_Forms_Build_19.2.3