Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en RSA Authentication Manager (CVE-2018-11075)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/09/2018
Última modificación:
27/03/2020

Descripción

RSA Authentication Manager en versiones anteriores a la 8.3 P3 contiene una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en una página Security Console. Un usuario remoto no autenticado malicioso podría, conociendo el token anti-CSRF de un usuario objetivo, explotar esta vulnerabilidad engañando a un usuario de Security Console víctima para que proporcione código HTML o JavaScript malicioso a la aplicación web vulnerable, cuyo código es ejecutado por el navegador web en el contexto de la aplicación web vulnerable.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:rsa:authentication_manager:*:*:*:*:*:*:*:* 8.3 (incluyendo)
cpe:2.3:a:emc:rsa_authentication_manager:8.3:p1:*:*:*:*:*:*
cpe:2.3:a:emc:rsa_authentication_manager:8.3:p2:*:*:*:*:*:*