Vulnerabilidad en productos TIBCO (CVE-2017-3180)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/07/2018
Última modificación:
09/10/2019
Descripción
Múltiples productos TIBCO son propensos a múltiples vulnerabilidades sin especificar de Cross-Site Scripting (XSS) debido a que fracasan a la hora de sanear entradas proporcionadas por el usuario. Un atacante podría aprovechar estos problemas para ejecutar código script arbitrario en el navegador de un usuario incauto en el contexto del sitio afectado. Esto puede permitir que el atacante robe credenciales de autenticación basadas en cookies y lance otros ataques. Los productos y versiones afectadas incluyen: TIBCO Silver Fabric Enabler for Spotfire Web Player en versiones 2.1.2 y anteriores; TIBCO Spotfire Analyst 7.5.0; TIBCO Spotfire Analyst 7.6.0; TIBCO Spotfire Analyst 7.7.0; TIBCO Spotfire Analytics Platform for AWS Marketplace en versiones 7.0.2 y anteriores; TIBCO Spotfire Automation Services en versiones 6.5.3 y anteriores; TIBCO Spotfire Automation Services 7.0.0 y 7.0.1; TIBCO Spotfire Connectors 7.6.0; TIBCO Spotfire Deployment Kit en versiones 6.5.3 y anteriores; TIBCO Spotfire Deployment Kit 7.0.0 y 7.0.1; TIBCO Spotfire Deployment Kit 7.5.0; TIBCO Spotfire Deployment Kit 7.6.0; TIBCO Spotfire Deployment Kit 7.7.0; TIBCO Spotfire Desktop en versiones 6.5.2 y anteriores; TIBCO Spotfire Desktop 7.0.0 y 7.0.1; TIBCO Spotfire Desktop 7.5.0; TIBCO Spotfire Desktop 7.6.0; TIBCO Spotfire Desktop 7.7.0; TIBCO Spotfire Desktop Developer Edition 7.7.0; TIBCO Spotfire Desktop Language Packs en versiones 7.0.1 y anteriores; TIBCO Spotfire Desktop Language Packs 7.5.0; TIBCO Spotfire Desktop Language Packs 7.6.0; TIBCO Spotfire Desktop Language Packs 7.7.0; TIBCO Spotfire Professional en versiones 6.5.3 y anteriores; TIBCO Spotfire Professional 7.0.0 y 7.0.1 TIBCO Spotfire Web Player en versiones 6.5.3 y anteriores; y TIBCO Spotfire Web Player 7.0.0 y 7.0.1.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tibco:silver_fabric_enabler_for_spotfire_web_player:*:*:*:*:*:*:*:* | 2.1.2 (incluyendo) | |
| cpe:2.3:a:tibco:spotfire_analyst:7.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_analyst:7.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_analyst:7.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_analytics_platform_for_aws:*:*:*:*:*:*:*:* | 7.0.2 (incluyendo) | |
| cpe:2.3:a:tibco:spotfire_automation_services:*:*:*:*:*:*:*:* | 6.5.3 (incluyendo) | |
| cpe:2.3:a:tibco:spotfire_automation_services:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_automation_services:7.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_connectors:7.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_deployment_kit:*:*:*:*:*:*:*:* | 6.5.3 (incluyendo) | |
| cpe:2.3:a:tibco:spotfire_deployment_kit:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_deployment_kit:7.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_deployment_kit:7.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_deployment_kit:7.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tibco:spotfire_deployment_kit:7.7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página