Vulnerabilidad en Kavita (CVE-2024-39307)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

28/06/2024

Última modificación:

01/07/2024

Descripción

Kavita es un servidor de lectura multiplataforma. Abrir un libro electrónico que contiene scripts maliciosos conduce a la ejecución del código dentro del contexto de navegación. Kavita no sanitiza ni protege el contenido de los epubs, lo que permite que se ejecuten scripts dentro de los libros electrónicos. Esta vulnerabilidad fue parcheada en la versión 0.8.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.50

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://github.com/Kareadita/Kavita/security/advisories/GHSA-r4qc-3w52-2v84