Vulnerabilidad en el parámetro "helpPageName" en la página "/help/treecontent.jsp" en Sysaid (CVE-2022-23165)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/05/2022
Última modificación:
23/05/2022
Descripción
Sysaid - Sysaid versión 14.2.0 Cross-Site Scripting (XSS) Reflejado - El parámetro "helpPageName" usado por la página "/help/treecontent.jsp" sufre una vulnerabilidad de tipo Cross-Site Scripting Reflejado. Para que un atacante pueda explotar esta vulnerabilidad de tipo Cross-Site Scripting, es necesario que el producto afectado exponga las páginas de ayuda sin conexión. Un atacante podría conseguir acceso a información confidencial o ejecutar código del lado del cliente en la sesión del navegador del usuario víctima. Además, un atacante requeriría que la víctima abriera un enlace malicioso. Un atacante puede explotar esta vulnerabilidad para llevar a cabo ataques de phishing. El atacante puede recibir datos confidenciales como detalles del servidor, nombres de usuario, estaciones de trabajo, etc. También puede llevar a cabo acciones como la carga de archivos, la eliminación de llamadas del sistema
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sysaid:sysaid:*:*:*:*:on-premises:*:*:* | 22.1.64 (excluyendo) | |
| cpe:2.3:a:sysaid:sysaid:*:*:*:*:cloud:*:*:* | 22.2.20 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página