Vulnerabilidad en una URL con una etiqueta de imagen HTML en MuWire (CVE-2021-32750)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/07/2021
Última modificación:
02/07/2022
Descripción
MuWire es una herramienta de publicación de archivos y redes que protege la identidad de sus usuarios al usar la tecnología I2P. Unos usuarios de MuWire desktop client versiones anteriores a 0.8.8, pueden ser desanonimizados por un atacante que conozca su ID completa. Un atacante podría enviar un mensaje con una línea de asunto conteniendo una URL con una etiqueta de imagen HTML y el cliente MuWire trataría de obtener esa imagen por medio de clearnet, exponiendo así la dirección IP del usuario. El problema es corregido en MuWire versión 0.8.8. Como solución, los usuarios pueden desactivar la funcionalidad de mensajería para prevenir a otros usuarios de enviar mensajes maliciosos
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:muwire_project:muwire:*:*:*:*:*:*:*:* | 0.8.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página