Vulnerabilidad en Teler (CVE-2022-23466)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/12/2022
Última modificación:
09/12/2022
Descripción
teler es un panel de alerta de amenazas y detección de intrusiones en tiempo real. Teler anterior a la versión 2.0.0-rc.4 es vulnerable a Cross-Site Scripting (XSS) basadas en DOM en el panel de Teler. Cuando Teler solicita mensajes del flujo de eventos en el endpoint `/events`, los datos de registro que se muestran en el panel no se sanitizan. Esto solo afecta a los usuarios autenticados y solo puede explotarse en función de las amenazas detectadas si el registro contiene un payload de scripts DOM. Esta vulnerabilidad se ha solucionado en la versión `v2.0.0-rc.4`. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:teler_project:teler:2.0.0:dev:*:*:*:*:*:* | ||
| cpe:2.3:a:teler_project:teler:2.0.0:rc:*:*:*:*:*:* | ||
| cpe:2.3:a:teler_project:teler:2.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:teler_project:teler:2.0.0:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página