Vulnerabilidad en TreeView de YUI2 (CVE-2022-48197)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/01/2023
Última modificación:
03/08/2024
Descripción
TreeView de YUI2 hasta 2800 sufre de varias vulnerabilidades de cross-site scripting (XSS) reflejadas en: up.php, sam.php, renderhidden.php, removechildren.php, removeall.php, readd.php, overflow.php, newnode2.php y newnode.php. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yui_project:yui:*:*:*:*:*:*:*:* | 2000 (incluyendo) | 2800 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/171633/Yahoo-User-Interface-TreeView-2.8.2-Cross-Site-Scripting.html
- https://github.com/ryan412/CVE-2022-48197
- https://github.com/ryan412/CVE-2022-48197/blob/main/README.md
- https://github.com/yui/yui2/blob/yui2-2.8.2-8/sandbox/treeview/inc-rightbar.php
- https://github.com/yui/yui2/tags
- https://literatejava.com/security/is-it-really-a-cve-reported-xss-in-yui-2-8-2/