Vulnerabilidad en el archivo /common/logViewer/logViewer.jsf en Oracle GlassFish Server (CVE-2021-3314)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/06/2021

Última modificación:

03/08/2024

Descripción

** NO COMPATIBLE CUANDO SE ASIGNÓ ** Oracle GlassFish Server versiones 3.1.2.18 y por debajo permite un ataque de tipo XSS en el archivo /common/logViewer/logViewer.jsf. Un usuario malicioso puede causar a un usuario administrador suministrar contenido peligroso a la página vulnerable, que luego es reflejado de regreso al usuario y es ejecutado por el navegador web. El mecanismo más común para suministrar contenido malicioso es incluirlo como parámetro en una URL que es publicado o es enviado por correo electrónico directamente a las víctimas. NOTA: Esta vulnerabilidad sólo afecta a productos que ya no están soportados por el mantenedor

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno