Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Yet Analytics (CVE-2024-26140)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2024
Última modificación:
22/02/2024

Descripción

com.yetanalytics/lrs es la librería LRS principal de Yet Analytics. Antes de la versión 1.2.17 de la librería LRS y la versión 0.7.5 de SQL LRS, se podía utilizar una declaración xAPI creada con fines malintencionados para realizar una inyección de script u otras etiquetas en el navegador de declaraciones LRS. El problema se solucionó en la versión 1.2.17 de la librería LRS y en la versión 0.7.5 de SQL LRS. No existen workarounds conocidas.