Vulnerabilidad en HTML5 (CVE-2024-32890)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
01/05/2024
Última modificación:
01/05/2024
Descripción
librespeed/speedtest es una prueba de velocidad autohospedada y de código abierto para HTML5. En las versiones afectadas, la falta de neutralización de la información del ISP en un resultado de prueba de velocidad conduce a Cross Site Scripting almacenadas en la API JSON. Al campo `processedString` en el parámetro `ispinfo` le falta neutralización. Se almacena cuando un usuario envía un resultado de prueba de velocidad a la API de telemetría (`results/telemetry.php`) y se devuelve en la API JSON (`results/json.php`). Esta vulnerabilidad se introdujo en el commit 3937b94. Esta vulnerabilidad afecta a las instancias de prueba de velocidad de LibreSpeed que ejecutan la versión 5.2.5 o superior y que tienen la telemetría habilitada y se ha solucionado en la versión 5.3.1. Se recomienda a los usuarios que actualicen. No se workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA