Vulnerabilidad en FatFreeCRM (CVE-2018-1000842)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/12/2018
Última modificación:
07/11/2023
Descripción
FatFreeCRM, en versiones anteriores a la 0.14.1, desde la versión 0.15.0 hasta la 0.15.1, desde la 0.16.0 hasta la 0.16.3, desde la 0.17.0 hasta la 0.17.2, y en versiones 0.18.0, contiene una vulnerabilidad Cross Site Scripting (XSS) en el commit con ID 6d60bc8ed010c4eda05d6645c64849f415f68d65 que puede resultar en la ejecución de JavaScript. El ataque parece ser explotable en los navegadores del usuario final cuando visiten la página, desencadenando la ejecución de una carga útil con contenido con JavaScript. La vulnerabilidad parece haber sido solucionada en las versiones 0.18.1, 0.17.3, 0.16.4, 0.15.2 y 0.14.2.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fatfreecrm:fatfreecrm:*:*:*:*:*:ruby:*:* | 0.14.1 (incluyendo) | |
| cpe:2.3:a:fatfreecrm:fatfreecrm:*:*:*:*:*:ruby:*:* | 0.15.0 (incluyendo) | 0.15.1 (incluyendo) |
| cpe:2.3:a:fatfreecrm:fatfreecrm:*:*:*:*:*:ruby:*:* | 0.16.0 (incluyendo) | 0.16.3 (incluyendo) |
| cpe:2.3:a:fatfreecrm:fatfreecrm:*:*:*:*:*:ruby:*:* | 0.17.0 (incluyendo) | 0.17.2 (incluyendo) |
| cpe:2.3:a:fatfreecrm:fatfreecrm:0.18.0:*:*:*:*:ruby:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/asteinhauser/fat_free_crm/commit/306f940b26ccf3f406665f07bece1229a7a5dcfa
- https://github.com/asteinhauser/fat_free_crm/issues/1
- https://github.com/fatfreecrm/fat_free_crm/wiki/XSS-Vulnerability-%282018-10-27%29
- https://groups.google.com/forum/#%21topic/fat-free-crm-users/TxsdZXSe7Jc