Vulnerabilidad en sra-admin (CVE-2022-39301)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

19/10/2022

Última modificación:

27/06/2023

Descripción

sra-admin es un sistema de administración de derechos en segundo plano que separa el front y el back end. La versión 1.1.1 de sra-admin presenta una vulnerabilidad de tipo cross-site scripting (XSS) de almacenamiento. Después de iniciar sesión en el fondo de sra-admin, un atacante puede descargar una página html que contenga código de ataque de tipo xss en "Personal Center" - "Profile Picture Upload", lo que permite el robo de la información personal del usuario. Este problema ha sido parcheado en la versión 1.1.2. No se presentan mitigaciones conocidas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:sra-admin_project:sra-admin::::::::		1.1.1 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/momofoolish/sra-admin/security/advisories/GHSA-v7r9-qx74-h3v8