Vulnerabilidad en el archivo WFS/agreementView.faces en el parámetro mainForm:loanNotesnotes:0:rich_text_editor_note_text en la sección Notes en Apak Wholesale Floorplanning Finance (CVE-2019-17551)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

31/10/2019

Última modificación:

07/11/2019

Descripción

En Apak Wholesale Floorplanning Finance versiones 6.31.8.3 y 6.31.8.5, un atacante puede enviar una petición POST autenticada con una carga útil maliciosa a /WFS/agreementView.faces que permite un XSS almacenado a mediante el parámetro mainForm:loanNotesnotes:0:rich_text_editor_note_text en la sección de Notes. Si bien se confirma que las versiones 6.31.8.3 y 6.31.8.5 están afectadas, todas las versiones con la sección "Notes" de WYSIWYG vulnerable probablemente están afectadas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno