Vulnerabilidad en DHIS 2 (CVE-2022-41947)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/12/2022
Última modificación:
12/12/2022
Descripción
DHIS 2 es un sistema de información de código abierto para captura, gestión, validación, análisis y visualización de datos. A través de varias funciones de DHIS2, un usuario autenticado puede cargar un archivo que incluye javascript integrado. Luego, el usuario podría engañar a otro usuario autenticado para que abra el archivo malicioso en un navegador, lo que activaría el código javascript, lo que resultaría en un ataque de Cross-Site Scripting (XSS). Los administradores de DHIS2 deben actualizar a las siguientes versiones de revisión: 2.36.12.1, 2.37.8.1, 2.38.2.1, 2.39.0.1. Los usuarios que no puedan actualizar pueden agregar la siguiente regla CSP simple en su proxy web a los endpoints vulnerables: `script-src 'none'`. Esta solución evitará que todo JavaScript se ejecute en esos endpoints.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* | 2.35.0 (incluyendo) | 2.36.12.1 (excluyendo) |
| cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* | 2.37.0 (incluyendo) | 2.37.8.1 (excluyendo) |
| cpe:2.3:a:dhis2:dhis_2:*:*:*:*:*:*:*:* | 2.38.0 (incluyendo) | 2.38.2.1 (excluyendo) |
| cpe:2.3:a:dhis2:dhis_2:2.39.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página