Vulnerabilidad en PAC Device (CVE-2023-4667)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/11/2023
Última modificación:
05/12/2023
Descripción
La interfaz web de PAC Device permite que el perfil de usuario del administrador del dispositivo almacene scripts maliciosos en algunos campos. El script malicioso almacenado se ejecuta cuando cualquier usuario de la interfaz de administración del servidor web abre la GUI. La causa principal de la vulnerabilidad es una validación de entrada y codificación de salida inadecuadas en el componente de interfaz de administración web del firmware. Esto podría provocar acceso no autorizado y fuga de datos.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:idemia:sgima_lite_\&_lite\+_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:sgima_lite_\&_lite\+:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:sigma_wide_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:sigma_wide:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:sigma_extreme_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:sigma_extreme:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:morphowave_compact_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:morphowave_compact:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:morphowave_sp_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:morphowave_sp:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:visionpass_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:visionpass:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:idemia:morphowave_sp_firmware:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:idemia:morphowave_sp:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página