Vulnerabilidad en un formulario html en anuko/timetracker (CVE-2021-41156)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/10/2021
Última modificación:
22/10/2021
Descripción
anuko/timetracker es un sistema de seguimiento de tiempo de código abierto. En las versiones afectadas Time Tracker usa el control oculto browser_today en algunas páginas para recoger la fecha de hoy de los navegadores de los usuarios. Debido a que no era comprobada el saneo de este parámetro en las versiones anteriores a 1.19.30.5601, era posible diseñar un formulario html con JavaScript malicioso, usar la ingeniería social para convencer a usuarios registrados de que ejecutaran un POST desde dicho formulario y hacer que el JavaScript suministrado por el atacante sea ejecutado en el navegador del usuario. Esto ha sido parcheado en la versión 1.19.30.5600. Se recomienda la actualización. Si no es práctico, introduzca la función ttValidDbDateFormatDate como en la última versión y añada una llamada a ella dentro del bloque de comprobación de acceso
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:timetracker_project:timetracker:*:*:*:*:*:*:*:* | 1.19.30.5601 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página