Vulnerabilidad en el análisis y la representación de los nombres de los eventos en Discourse Calendar (CVE-2022-31059)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

14/06/2022

Última modificación:

07/11/2023

Descripción

Discourse Calendar es un plugin de calendario para Discourse, una aplicación de mensajería de código abierto. En versiones anteriores a 1.0.1, el análisis y la representación de los nombres de los eventos pueden ser susceptibles de ataques de tipo cross-site scripting (XSS). Esta vulnerabilidad sólo afecta a sitios que han modificado o deshabilitado la Política de Seguridad de Contenidos por defecto de Discourse. Este problema está parcheado en versión 1.0.1 del plugin Calendario de Discourse. Como mitigación, asegúrese de que la política de seguridad de contenidos está habilitada y no ha sido modificada de forma que sea más vulnerable a ataques de tipo XSS

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:H/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:N/AC:H/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno