Vulnerabilidad en la interfaz web en varios campos de entrada en Central Control Server (CCS) (CVE-2019-19294)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

10/03/2020

Última modificación:

09/01/2024

Descripción

Se ha identificado una vulnerabilidad en Central Control Server (CCS) (Todas las versiones anteriores a V1.5.0). La interfaz web de Central Control Server (CCS) contiene múltiples vulnerabilidades de Cross-site Scripting (XSS) almacenadas en varios campos de entrada. Esto podría permitir a un atacante remoto autenticado inyectar código JavaScript malicioso en la aplicación web de CCS que se ejecuta posteriormente en el contexto del navegador de cualquier otro usuario que vea el contenido web de CCS correspondiente

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno