Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la funcionalidad comment posting en el archivo CommentsService.ashx en OnyakTech Comments Pro (CVE-2021-33483)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/09/2021
Última modificación:
13/09/2021

Descripción

Se ha detectado un problema en el archivo CommentsService.ashx en OnyakTech Comments Pro versión 3.8. La funcionalidad comment posting permite a un atacante añadir una carga útil de tipo XSS a la petición JSON que será ejecutada cuando los usuarios visiten la página con el comentario

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:onyaktech_comments_pro_project:onyaktech_comments_pro:3.8:*:*:*:*:*:*:*