Vulnerabilidad en la codificación de las entradas de usuario en varios componentes del CMS web en SAP Commerce Cloud (CVE-2020-6272)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/10/2020
Última modificación:
19/10/2020
Descripción
SAP Commerce Cloud versiones - 1808, 1811, 1905, 2005, no codifican suficientemente las entradas del usuario, lo que permite a un administrador de contenido autenticado y autorizado inyectar un script malicioso en varios componentes del CMS web. Estos puede ser guardado y activado posteriormente, si se visita una página web afectada, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS)
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:commerce_cloud:1808:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:commerce_cloud:1811:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:commerce_cloud:1905:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:commerce_cloud:2005:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página