Vulnerabilidad en Remote Clinic (CVE-2021-39416)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/11/2021
Última modificación:
08/11/2021
Descripción
Se presentan múltiples vulnerabilidades de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 en el archivo (1) patients/register-patient.php por medio de los parámetros (a) Contact, (b) Email, (c) Weight, (d) Profession, (e) ref_contact, (f) address, (g) gender, (h) age, y (i) serial; en el archivo (2) patients/edit-patient.php por medio de los parámetros (a) Contact, (b) Email, (c) Weight, Profession, (d) ref_contact, (e) address, (f) serial, (g) age, and (h) gender ; en el archivo (3) staff/edit-my-profile.php por medio de los parámetros (a) Title, (b) First Name, (c) Last Name, (d) Skype, and (e) Address ; y en el archivo (4) clinics/settings.php por medio de los parámetros (a) portal_name, (b) guardian_short_name, (c) guardian_name, (d) opening_time, (e) closing_time, (f) access_level_5, (g) access_level_4, (h) access_level_ 3, (i) access_level_2, (j) access_level_1, (k) currency, (l) mobile_number, (m) address, (n) patient_contact, (o) patient_address, and (p) patient_email
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:remoteclinic:remote_clinic:2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página