Vulnerabilidad en FAST LTA Silent Brick (CVE-2025-2072)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

31/03/2025

Última modificación:

01/04/2025

Descripción

Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) reflejado en la interfaz web de FAST LTA Silent Brick, que permite a los atacantes inyectar código JavaScript malicioso en las páginas web que visitan los usuarios. Este problema surge cuando la información proporcionada por el usuario se gestiona incorrectamente y se refleja directamente en la salida de una página web sin la debida codificación ni limpieza. Al explotar esta vulnerabilidad, un atacante puede ejecutar JavaScript arbitrario en el navegador de la víctima, lo que podría provocar secuestro de sesión, robo de datos y otras acciones maliciosas. Los parámetros de la interfaz web afectados son "h", "hd", "p", "pi", "s", "t", "x" e "y".

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L/RE:L/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L/RE:L/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo
Vulnerability Response Effort (RE): Bajo
Provider Urgency (U): Amber

Puntuación base 4.0

5.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.fast-lta.de/de/fast/silent-bricks-software-2-63