Vulnerabilidad en Movable Type, Movable Type Advanced, Movable Type Premium y Movable Type Premium Advanced (CVE-2022-45113)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
07/12/2022
Última modificación:
23/04/2025
Descripción
Existe una validación inadecuada de la corrección sintáctica de la vulnerabilidad de entrada en la serie Movable Type. Hacer que un usuario acceda a una URL especialmente manipulada puede permitir que un atacante remoto no autenticado establezca una URL especialmente manipulada para la página Restablecer contraseña y realice un ataque de phishing. Los productos/versiones afectados son los siguientes: Movable Type 7 r.5301 y anteriores (Serie Movable Type 7), Movable Type Advanced 7 r.5301 y anteriores (Serie Movable Type Advanced 7), Movable Type 6.8.7 y anteriores (Movable Type 6), Movable Type Advanced 6.8.7 y anteriores (Movable Type Advanced 6 Series), Movable Type Premium 1.53 y anteriores, y Movable Type Premium Advanced 1.53 y anteriores.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:premium:*:*:* | 1.53 (incluyendo) | |
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:premium_advanced:*:*:* | 1.53 (incluyendo) | |
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:-:*:*:* | 6.0 (incluyendo) | 6.8.7 (excluyendo) |
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:advanced:*:*:* | 6.0 (incluyendo) | 6.8.7 (excluyendo) |
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:-:*:*:* | 7.0 (incluyendo) | 7.9.6 (excluyendo) |
| cpe:2.3:a:sixapart:movable_type:*:*:*:*:advanced:*:*:* | 7.0 (incluyendo) | 7.9.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página