Vulnerabilidad en Datagate MK2 (CVE-2019-12774)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/06/2019
Última modificación:
10/06/2019
Descripción
Se han identificado varias vulnerabilidades XSS almacenadas en la característica web configuration de los dispositivos Datagate MK2 versión 70044_update_05032019-482 de ENTTEC, que podría permitir a un atacante no autenticado inyectar código malicioso directamente en la aplicación. Esto afecta, por ejemplo, al campo Profile Description en datos JSON hacia el Profile Editor.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:enttec:datagate_mk2_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:datagate_mk2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:storm_24_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:storm_24:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:pixelator_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:pixelator:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:e-streamer_mk2_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:e-streamer_mk2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página