Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función "createRequisitionedNode()" en el parámetro "nodo -label" en OpenNMS Horizon (CVE-2021-25934)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/05/2021
Última modificación:
03/06/2021

Descripción

En OpenNMS Horizon, versiones opennms-18.0.0-1 hasta opennms-27.1.0-1; OpenNMS Meridian, versiones meridian-foundation-2015.1.0-1 hasta meridian-foundation-2019.1.18-1; versiones meridian-foundation-2020.1.0-1 hasta meridian-foundation-2020.1.7-1, son vulnerables a un ataque de tipo Cross-Site Scripting Almacenado, ya que la función "createRequisitionedNode()" no lleva a cabo ningún chequeo de comprobación en la entrada enviada hacia el parámetro "nodo -label". Debido a este fallo, un atacante podría inyectar un script arbitrario que será almacenado en la base de datos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:opennms:horizon:*:*:*:*:*:*:*:* 18.0.0 (incluyendo) 27.1.0 (incluyendo)
cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* 2015.1.0 (incluyendo) 2019.1.18 (incluyendo)
cpe:2.3:a:opennms:meridian:*:*:*:*:*:*:*:* 2020.1.0 (incluyendo) 2020.1.7 (incluyendo)