Vulnerabilidad en ILIAS (CVE-2024-33525)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/05/2024
Última modificación:
03/07/2024
Descripción
Una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en la función "Import of organizational units and title of organizational unit" en ILIAS 7.20 a 7.30 e ILIAS 8.4 a 8.10, así como ILIAS 9.0, permite a atacantes remotos autenticados con privilegios administrativos inyectar archivos web arbitrarios. script o HTML a través de la carga de archivos XML.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&cmd=layout&ref_id=1719&obj_id=159938
- https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&cmd=layout&ref_id=1719&obj_id=170029
- https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&cmd=layout&ref_id=1719&obj_id=170040
- https://insinuator.net/2024/05/security-advisory-achieving-php-code-execution-in-ilias-elearning-lms-before-v7-30-v8-11-v9-1/