Vulnerabilidad en productos Atlassian (CVE-2018-20241)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2019
Última modificación:
26/02/2019
Descripción
El recurso de edición de subida para una revisión en Atlassian FishEye y Crucible, en versiones anteriores a la 4.7.0, permiten que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro wbuser.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:atlassian:crucible:*:*:*:*:*:*:*:* | 4.7.0 (excluyendo) | |
cpe:2.3:a:atlassian:fisheye:*:*:*:*:*:*:*:* | 4.7.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página