Vulnerabilidad en un parámetro de acción sin codificación en DAViCal (CVE-2019-18345)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/12/2019
Última modificación:
01/02/2023
Descripción
Se detectó un problema de tipo XSS reflejado en DAViCal versiones hasta 1.1.8. Se hace eco del parámetro de acción sin codificación. Si un usuario visita un enlace proporcionado por el atacante, el atacante puede visualizar todos los datos que puede observar el usuario atacado, así como realizar todas las acciones en nombre del usuario. Si el usuario es un administrador, el atacante puede, por ejemplo, agregar un nuevo usuario administrador para obtener acceso completo a la aplicación.
Impacto
Puntuación base 3.x
9.30
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:davical:davical:*:*:*:*:*:*:*:* | 1.1.8 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/155630/DAViCal-CalDAV-Server-1.1.8-Reflective-Cross-Site-Scripting.html
- https://gitlab.com/davical-project/davical/blob/master/ChangeLog
- https://hackdefense.com/publications/cve-2019-18345-davical-caldav-server-vulnerability/
- https://lists.debian.org/debian-lts-announce/2019/12/msg00016.html
- https://seclists.org/bugtraq/2019/Dec/30
- https://wiki.davical.org/index.php/Main_Page
- https://www.davical.org/
- https://www.debian.org/security/2019/dsa-4582