Vulnerabilidad en Yet Analytics (CVE-2024-26140)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2024
Última modificación:
22/02/2024
Descripción
com.yetanalytics/lrs es la librería LRS principal de Yet Analytics. Antes de la versión 1.2.17 de la librería LRS y la versión 0.7.5 de SQL LRS, se podía utilizar una declaración xAPI creada con fines malintencionados para realizar una inyección de script u otras etiquetas en el navegador de declaraciones LRS. El problema se solucionó en la versión 1.2.17 de la librería LRS y en la versión 0.7.5 de SQL LRS. No existen workarounds conocidas.
Impacto
Puntuación base 3.x
4.60
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://clojars.org/com.yetanalytics/lrs/versions/1.2.17
- https://github.com/yetanalytics/lrs/commit/d7f4883bc2252337d25e8bba2c7f9d172f5b0621
- https://github.com/yetanalytics/lrs/releases/tag/v1.2.17
- https://github.com/yetanalytics/lrs/security/advisories/GHSA-7rw2-3hhp-rc46
- https://github.com/yetanalytics/lrsql/releases/tag/v0.7.5