Vulnerabilidad en Oveleon Cookie Bar (CVE-2024-47069)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/09/2024
Última modificación:
30/09/2024
Descripción
Oveleon Cookie Bar es una barra de cookies para el CMS de código abierto Contao y permite que un visitante defina la configuración de privacidad y cookies para el sitio web. Antes de las versiones 1.16.3 y 2.1.3, el punto de conexión `block/locale` no desinfecta correctamente la entrada `locale` controlada por el usuario antes de incluirla en la respuesta HTTP del backend, lo que provoca un error de cross-site scripting reflejado. Las versiones 1.16.3 y 2.1.3 contienen un parche para la vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oveleon:cookiebar:*:*:*:*:*:cantao:*:* | 1.16.3 (excluyendo) | |
| cpe:2.3:a:oveleon:cookiebar:*:*:*:*:*:cantao:*:* | 2.0.0 (incluyendo) | 2.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
- https://github.com/oveleon/contao-cookiebar/blob/2.x/src/Controller/CookiebarController.php
- https://github.com/oveleon/contao-cookiebar/commit/1d57470be5878f66d5e1e23f624dd387564b9b8d
- https://github.com/oveleon/contao-cookiebar/security/advisories/GHSA-296q-rj83-g9rq