Vulnerabilidad en Assessment /TestQuestionPool en Ilias (CVE-2019-1010237)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/07/2019
Última modificación:
09/10/2019
Descripción
Ilias versiones 5.3 anteriores a 5.3.12; versiones 5.2 anteriores a 5.2.21, está afectado por: Cross Site Scripting (XSS) - CWE-79 Tipo 2: XSS Almacenado (o Persistente). El impacto es: Ejecutar código en el navegador de la víctima. El componente es: Assessment / TestQuestionPool. El vector de ataque es: fallo de Cloze Test Text (atacante) / Vista de correcciones (víctima). La versión corregida es: versión 5.3.12.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ilias:ilias:*:*:*:*:*:*:*:* | 5.2.0 (incluyendo) | 5.2.21 (excluyendo) |
| cpe:2.3:a:ilias:ilias:*:*:*:*:*:*:*:* | 5.3.0 (incluyendo) | 5.3.12 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página