Vulnerabilidad en la funcionalidad de edición de mapas de red en Pandora FMS (CVE-2022-43980)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

27/01/2023

Última modificación:

22/02/2023

Descripción

Existe una vulnerabilidad de cross-site scripting persistente en Pandora FMS v765, en la funcionalidad de edición de mapas de red. Un atacante podría modificar un mapa de red, incluyendo a propósito el nombre de un payload XSS. Una vez creado, si un usuario con privilegios de administrador hace clic en los mapas de red editados, se ejecutará el payload XSS. La explotación de esta vulnerabilidad podría permitir a un atacante robar el valor de la cookie del usuario con rol de administrador.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno