Vulnerabilidad en el parámetro GET de operatorlocale en el portal de inicio de sesión de la aplicación web WebCTRL/WebCTRL OEM de Automated Logic (CVE-2021-31682)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/10/2021
Última modificación:
28/11/2021
Descripción
El portal de inicio de sesión de la aplicación web WebCTRL/WebCTRL OEM de Automated Logic contiene una vulnerabilidad que permite ataques de tipo XSS reflejados debido a que el parámetro GET de operatorlocale no a sido saneado. Este problema afecta a las versiones 6.5 y por debajo. Este problema funciona al pasar una carga útil de tipo XSS básica a un parámetro GET vulnerable que es reflejado en la salida sin sanear
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:automatedlogic:webctrl:*:*:*:*:*:*:*:* | 6.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página