Vulnerabilidad en Croogo (CVE-2014-8577)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
31/10/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de XSS en Croogo anterior a 2.1.0 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del (1) parámetro data[Contact][title] en la página admin/contacts/contacts/add; (2) parámetro data[Block][title] o (3) data[Block][alias] en la página admin/blocks/blocks/edit; (4) parámetro data[Region][title] en la página admin/blocks/regions/add; (5) parámetro data[Menu][title] o (6) data[Menu][alias] en la página admin/menus/menus/add; o (7) parámetro data[Link][title] en la página admin/menus/links/add/menu.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:croogo:croogo:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.croogo.org/blog/croogo-210-released
- http://packetstormsecurity.com/files/128639/Croogo-2.0.0-Cross-Site-Scripting.html
- http://www.exploit-db.com/exploits/34959
- http://www.osvdb.org/113109
- http://www.osvdb.org/113110
- http://www.osvdb.org/113111
- http://www.osvdb.org/113113
- http://zeroscience.mk/en/vulnerabilities/ZSL-2014-5201.php
- https://exchange.xforce.ibmcloud.com/vulnerabilities/96991
- http://blog.croogo.org/blog/croogo-210-released
- http://packetstormsecurity.com/files/128639/Croogo-2.0.0-Cross-Site-Scripting.html
- http://www.exploit-db.com/exploits/34959
- http://www.osvdb.org/113109
- http://www.osvdb.org/113110
- http://www.osvdb.org/113111
- http://www.osvdb.org/113113
- http://zeroscience.mk/en/vulnerabilities/ZSL-2014-5201.php
- https://exchange.xforce.ibmcloud.com/vulnerabilities/96991