Vulnerabilidad en Piwigo (CVE-2023-44393)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/10/2023
Última modificación:
13/10/2023
Descripción
Piwigo es una aplicación de galería de fotografías de código abierto. Antes de la versión 14.0.0beta4, una vulnerabilidad de Cross-Site Scripting (XSS) reflejada se encuentra en la página ` /admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]`. Un atacante puede aprovechar esta vulnerabilidad para inyectar código HTML y JS malicioso en la página HTML, que luego los usuarios administradores podrían ejecutar cuando visiten la URL con el payload. La vulnerabilidad se debe a la inyección insegura del valor `plugin_id` de la URL en la página HTML. Un atacante puede aprovechar esta vulnerabilidad creando una URL maliciosa que contenga un valor "plugin_id" especialmente manipulado. Cuando una víctima que ha iniciado sesión como administrador visita esta URL, el código malicioso se inyectará en la página HTML y se ejecutará. Esta vulnerabilidad puede ser aprovechada por cualquier atacante que tenga acceso a una URL maliciosa. Sin embargo, sólo se ven afectados los usuarios que han iniciado sesión como administradores. Esto se debe a que la vulnerabilidad solo está presente en la página `/admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]`, a la que solo pueden acceder los administradores. La versión 14.0.0.beta4 contiene un parche para este problema.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:piwigo:piwigo:*:*:*:*:*:*:*:* | 13.8.0 (incluyendo) | |
| cpe:2.3:a:piwigo:piwigo:14.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:piwigo:piwigo:14.0.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:piwigo:piwigo:14.0.0:beta3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página