Vulnerabilidad en BestWebSoft en diferentes aplicaciones (CVE-2017-2171)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/05/2017
Última modificación:
20/04/2025
Descripción
Una Vulnerabilidad de tipo cross-site-scripting en Captcha anterior a versión 4.3.0, Car Rental anterior a versión 1.0.5, Contact Form Multi anterior a versión 1.2.1, Contact Form anterior a versión 4.0.6, Contact Form to DB anterior a versión 1.5.7, Custom Admin Page anterior a versión 0.1.2, Custom Fields Search anterior a versión 1.3.2, Custom Search anterior a versión 1.36, Donate anterior a versión 2.1.1, Email Queue anterior a versión 1.1.2, Error Log Viewer anterior a versión 1.0.6, Facebook Button anterior a versión 2.54, Featured Posts anterior a versión 1.0.1, Gallery Categories anterior a versión 1.0.9, Gallery anterior a versión 4.5.0, Google +1 anterior a versión 1.3.4, Google AdSense anterior a versión 1.44, Google Analytics anterior a versión 1.7.1, Google Captcha (reCAPTCHA) anterior a versión 1.28, Google Maps anterior a versión 1.3.6, Google Shortlink anterior a versión 1.5.3, Google Sitemap anterior a versión 3.0.8, Htaccess anterior a versión 1.7.6, Job Board anterior a versión 1.1.3, Latest Posts anterior a versión 0.3, Limit Attempts anterior a versión 1.1.8, LinkedIn anterior a versión 1.0.5, Multilanguage anterior a versión 1.2.2, PDF & Print anterior a versión 1.9.4, Pagination anterior a versión 1.0.7, Pinterest anterior a versión 1.0.5, Popular Posts anteriores a versión 1.0.5, Portfolio anterior a la versión 2.4, Post to CSV anterior a versión 1.3.1, Profile Extra anterior a versión 1.0.7. PromoBar anterior a versión 1.1.1, Quotes and Tips anterior a versión 1.32, Re-attacher anterior a versión 1.0.9, Realty anterior a versión 1.1.0, Relevant - Related Posts anterior a versión 1.2.0, Sender anterior a versión 1.2.1, SMTP anterior a versión 1.1.0, Social Buttons Pack anterior a versión 1.1.1, Subscriber anterior a versión 1.3.5, Testimonials anteriores a versión 0.1.9, Timesheet anterior a versión 0.1.5, Twitter Button anterior a versión 2.55, User Role anterior a versión 1.5.6, Updater anterior a versión 1.35, Visitors Online anterior a versión 1.0.0, y Zendesk Help Center anterior a versión 1.0.5, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de la función para mostrar el menú BestWebSoft.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bestwebsoft:captcha:*:*:*:*:*:wordpress:*:* | 4.2.9 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:car_rental:*:*:*:*:*:wordpress:*:* | 1.0.4 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:contact_form:*:*:*:*:*:wordpress:*:* | 4.0.5 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:contact_form_multi:*:*:*:*:*:wordpress:*:* | 1.2.0 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:contact_form_to_db:*:*:*:*:*:wordpress:*:* | 1.5.6 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:custom_admin_page:*:*:*:*:*:wordpress:*:* | 0.1.1 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:custom_fields_search:*:*:*:*:*:wordpress:*:* | 1.3.1 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:custom_search:*:*:*:*:*:wordpress:*:* | 1.35 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:donate:*:*:*:*:*:wordpress:*:* | 2.1.0 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:email_queue:*:*:*:*:*:wordpress:*:* | 1.1.1 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:error_log_viewer:*:*:*:*:*:wordpress:*:* | 1.0.5 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:facebook_button:*:*:*:*:*:wordpress:*:* | 2.53 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:featured_posts:*:*:*:*:*:wordpress:*:* | 1.0.0 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:gallery:*:*:*:*:*:wordpress:*:* | 4.4.9 (incluyendo) | |
| cpe:2.3:a:bestwebsoft:gallery_categories:*:*:*:*:*:wordpress:*:* | 1.0.8 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página