Vulnerabilidad en HTML5 (CVE-2024-32890)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
01/05/2024
Última modificación:
15/04/2026
Descripción
librespeed/speedtest es una prueba de velocidad autohospedada y de código abierto para HTML5. En las versiones afectadas, la falta de neutralización de la información del ISP en un resultado de prueba de velocidad conduce a Cross Site Scripting almacenadas en la API JSON. Al campo `processedString` en el parámetro `ispinfo` le falta neutralización. Se almacena cuando un usuario envía un resultado de prueba de velocidad a la API de telemetría (`results/telemetry.php`) y se devuelve en la API JSON (`results/json.php`). Esta vulnerabilidad se introdujo en el commit 3937b94. Esta vulnerabilidad afecta a las instancias de prueba de velocidad de LibreSpeed que ejecutan la versión 5.2.5 o superior y que tienen la telemetría habilitada y se ha solucionado en la versión 5.3.1. Se recomienda a los usuarios que actualicen. No se workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/librespeed/speedtest/commit/3937b940e80b734acae36cd41a2a31819593e728
- https://github.com/librespeed/speedtest/commit/dd1ce2cb8830d94dcaa0b8e70b9406144a0e5f8d
- https://github.com/librespeed/speedtest/security/advisories/GHSA-3954-xrwh-fq4q
- https://github.com/librespeed/speedtest/commit/3937b940e80b734acae36cd41a2a31819593e728
- https://github.com/librespeed/speedtest/commit/dd1ce2cb8830d94dcaa0b8e70b9406144a0e5f8d
- https://github.com/librespeed/speedtest/security/advisories/GHSA-3954-xrwh-fq4q