Vulnerabilidad en archivos con nombres no seguros en el soporte show_subdir_lastmod de CVS en ViewVC (CVE-2020-5283)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/04/2020
Última modificación:
07/11/2023
Descripción
ViewVC versiones anteriores a 1.1.28 y 1.2.1, presenta una vulnerabilidad de tipo XSS en el soporte show_subdir_lastmod de CVS. El impacto de esta vulnerabilidad está mitigado mediante la necesidad de que un atacante tenga privilegios de commit en un repositorio CVS expuesto por una instancia de ViewVC confiable que también tenga la funcionalidad "show_subdir_lastmod" habilitada. El vector de ataque involucra archivos con nombres no seguros (nombres que, cuando se insertan en una secuencia de datos HTML, causarían que el navegador ejecute un código no deseado), que pueden ser en si mismos difíciles de crear. Esta vulnerabilidad está parcheada en las versiones 1.2.1 y 1.1.28.
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:viewvc:viewvc:*:*:*:*:*:*:*:* | 1.1.28 (excluyendo) | |
| cpe:2.3:a:viewvc:viewvc:*:*:*:*:*:*:*:* | 1.2.0 (incluyendo) | 1.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/viewvc/viewvc/commit/ad0f966e9a997b17d853a6972ea283d4dcd70fa8
- https://github.com/viewvc/viewvc/issues/211
- https://github.com/viewvc/viewvc/security/advisories/GHSA-xpxf-fvqv-7mfg
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2Q2STF2MKT24HXZ3YZIU7CN6F6QM67I5/