Vulnerabilidad en Dojo Dojo Objective Harness (CVE-2018-1000665)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

06/09/2018

Última modificación:

07/11/2018

Descripción

Dojo Dojo Objective Harness (DOH) en versiones anteriores a la 1.14 contiene una vulnerabilidad de Cross-Site Scripting (XSS) en unit.html, testsDOH/_base/loader/i18n-exhaustive/i18n-test/unit.html y testsDOH/_base/i18nExhaustive.js en el DOH que puede resultar en que la víctima atacada a través de su navegador extienda malware, robe cookies HTTP u omita la confianza de CORS. El ataque parece ser explotable de esta forma: las víctimas suelen ser atraídas a un sitio web bajo el control del atacante; la vulnerabilidad XSS en el dominio objetivo se explota sin que la víctima lo sepa. La vulnerabilidad parece haber sido solucionada en la versión 1.14.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno