Vulnerabilidad en IVYWE, DataBox y userBox para Geeklog (CVE-2016-4875)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/04/2017
Última modificación:
20/04/2025
Descripción
Múltiples vulnerabilidades XSS en el plugin IVYWE (1) Assist en versiones anteriores a 1.1.2.test20160906, (2) DataBox plugin en versiones anteriores a 0.0.020160906, y (3) plugin userBox en versiones anteriores a 0.0.0.20160906 para Geeklog permite a los atacantes remotos a inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:assist_project:assist_plugin:*:*:*:*:*:geeklog:*:* | 1.1.0 (incluyendo) | |
| cpe:2.3:a:databox_project:databox_plugin:*:*:*:*:*:geeklog:*:* | 0..0.0.20150609 (incluyendo) | |
| cpe:2.3:a:userbox_project:userbox_plugin:*:*:*:*:*:geeklog:*:* | 0.0.0.20150918 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://jvn.jp/en/jp/JVN46087986/index.html
- http://jvndb.jvn.jp/en/contents/2016/JVNDB-2016-000167.html
- http://www.securityfocus.com/bid/93123
- https://github.com/ivywe/geeklog-ivywe/commit/3cdb4ebca5746ff1e02b7e434d5722044d1d09d1
- https://github.com/ivywe/geeklog-ivywe/commit/fe20a1bccdfec96125ab3d8dbee6ccbd0767c0be
- http://jvn.jp/en/jp/JVN46087986/index.html
- http://jvndb.jvn.jp/en/contents/2016/JVNDB-2016-000167.html
- http://www.securityfocus.com/bid/93123
- https://github.com/ivywe/geeklog-ivywe/commit/3cdb4ebca5746ff1e02b7e434d5722044d1d09d1
- https://github.com/ivywe/geeklog-ivywe/commit/fe20a1bccdfec96125ab3d8dbee6ccbd0767c0be