Vulnerabilidad en el parámetro link, logo.link, o aboutlink, o en un nombre de esquema de URI anidado en javascript, asfunction o vbscript en LongTail Video JW Player (CVE-2012-3351)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2020
Última modificación:
21/11/2024
Descripción
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en LongTail Video JW Player versiones hasta 5.10.2295, permite a atacantes remotos inyectar script web o HTML arbitrario, por medio del parámetro (1) link, (2) logo.link, o (3) aboutlink, o un nombre de esquema de URI anidado en (4) javascript, (5) asfunction o (6) vbscript.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:longtailvideo:jw_player:*:*:*:*:*:*:*:* | 5.10.2295 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://developer.longtailvideo.com/trac/ticket/1585
- http://technet.microsoft.com/security/msvr/msvr12-009
- https://www.exploit-db.com/exploits/37552
- https://www.exploit-db.com/exploits/37672
- https://www.securityfocus.com/bid/54101/discuss
- https://www.securityfocus.com/bid/55199/exploit
- http://developer.longtailvideo.com/trac/ticket/1585
- http://technet.microsoft.com/security/msvr/msvr12-009
- https://www.exploit-db.com/exploits/37552
- https://www.exploit-db.com/exploits/37672
- https://www.securityfocus.com/bid/54101/discuss
- https://www.securityfocus.com/bid/55199/exploit