Vulnerabilidad en Cantemo Portal (CVE-2019-7551)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/04/2019
Última modificación:
27/09/2019
Descripción
Cantemo Portal versión anterior a 3.2.13,versión 3.3.x anterior a 3.3.8 y versión 3.4.x anterior a 3.4.9 tiene una vulnerabilidad de tipo Cross-Site Scripting (XSS) que al atacar esta vulnerabilidad permitiría realizar acciones como usuarios, incluidos los usuarios administrativos. Esto podría permitir la creación y eliminación de cuentas, así como la eliminación de la información contenida en la aplicación.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cantemo:portal:*:*:*:*:*:*:*:* | 3.2.13 (excluyendo) | |
| cpe:2.3:a:cantemo:portal:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.8 (excluyendo) |
| cpe:2.3:a:cantemo:portal:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog-posts--cantemo.netlify.com/news/2019/03/cantemo-portal-xss-vulnerabilities/
- https://doc.cantemo.com/latest/ReleaseNotes/intro.html#version-3-4-9
- https://www.bishopfox.com/blog/news-category/advisories/
- https://www.bishopfox.com/news/2019/03/cantemo-portal-version-3-8-4-cross-site-scripting/