CVE-2023-51381

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

16/01/2024

Última modificación:

17/01/2024

Descripción

Cross site scripting en el campo tag name pattern en la interfaz de usuario de protección de etiquetas en GitHub Enterprise Server 3.8.12, 3.9.7, 3.10.4, 3.11.2 permiten que un sitio web malicioso que requiere interacción del usuario e ingeniería social realice cambios en un cuenta de usuario a través de omisión CSP con tokens CSRF creados. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server y se solucionó en todas las versiones 3.11.3, 3.10.5, 3.9.8 y 3.8.13. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.70

Gravedad 3.x

BAJA

CVE-2023-51381

Descripción

Impacto

Referencias a soluciones, herramientas e información