Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Osmedeus (CVE-2024-51735)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/11/2024
Última modificación:
06/11/2024

Descripción

Osmedeus es un motor de workflow para seguridad ofensiva. Se produce un ataque de Cross Site Scripting (XSS) en el servidor web de Osmedeus cuando se visualizan los resultados del workflow, lo que permite ejecutar comandos en el servidor. Cuando se utiliza un workflow que contiene el módulo de resumen, se generan informes en formatos HTML y Markdown. El informe predeterminado se basa en la plantilla `general-template.md`. Se leen los contenidos de los archivos y se utilizan para generar el informe. Sin embargo, los contenidos de los archivos no se filtran correctamente, lo que genera un ataque de Cross Site Scripting (XSS). Esto también puede provocar la ejecución de comandos en el host. Este problema aún no se ha resuelto. Se recomienda a los usuarios que agreguen su propio filtrado o que se pongan en contacto con el desarrollador para que les ayude a desarrollar un parche.

Referencias a soluciones, herramientas e información