Vulnerabilidad en el mecanismo de personalización de iTop en Combodo iTop (CVE-2022-24870)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/04/2022
Última modificación:
29/04/2022
Descripción
Combodo iTop es una herramienta de administración de servicios de TI basada en la web. En versiones 3.0.0 beta anteriores a 3.0.0 beta3, puede inyectarse un script malicioso en los tooltips usando el mecanismo de personalización de iTop. Esto proporciona un vector de ataque de tipo cross site scripting almacenado a usuarios autorizados del sistema. Es recomendado a usuarios actualizar. No se presentan medidas de mitigación conocidas para este problema
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:combodo:itop:3.0.0:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:combodo:itop:3.0.0:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Combodo/iTop/security/advisories/GHSA-29h7-jw2p-pcw3
- https://huntr.dev/bounties/1625056040123-Combodo/iTop/?token=4d1195d5a50a9f0f7ae9fc24a2b0a3bd907427edaf7ee6ac1f8f31c11d8b7a5d2c204957125e63fd7cf3a87df6d5d12a35f9c7107ba5f33b5f668fa199a36932448b9bf186daa62cb32b5635770730eb68eeeba079b8864ab00358fd0dc65fa406d986525814a14951db2025e117f0098a1f270f5a5b2c935a65b00b5106e5511b61d501c4357654cb8ea76b
- https://www.github.com/combodo/itop/commit/ebbf6e56befda2070b00d68c7c3e531a6ce6b59e