Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en setup/controllers/language.php en MODX Revolution (CVE-2017-7320)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
30/03/2017
Última modificación:
20/04/2025

Descripción

setup/controllers/language.php en MODX Revolution 2.5.4-pl y versiones anteriores no restringe adecuadamente el parámetro language, lo que permite a atacantes remotos llevar a cabo ataques de bombardeo de cookies y provocar una denegación de servicio (agotamiento de la cuota de cookie), o llevar a cabo ataques HTTP Response Splitting con XSS resultante, a través de un valor de parámetro no válido.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:modx:modx_revolution:*:*:*:*:*:*:*:* 2.5.4 (incluyendo)