Vulnerabilidad en Syncope Console (CVE-2024-45031)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
24/10/2024
Última modificación:
25/11/2024
Descripción
Al editar objetos en Syncope Console, se podían usar etiquetas HTML incompletas para evitar la desinfección de HTML. Esto hacía posible inyectar payloads XSS almacenados que se activaban para otros usuarios durante el uso normal de la aplicación. Los payloads XSS también se podían inyectar en Syncope Enduser al editar “Información personal” o “Solicitudes de usuario”: dichos payloads se activaban para los administradores en Syncope Console, lo que permitía el secuestro de sesiones. Se recomienda a los usuarios que actualicen a la versión 3.0.9, que soluciona este problema.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA