Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Password Pusher (CVE-2024-51989)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/11/2024
Última modificación:
08/11/2024

Descripción

Password Pusher es una aplicación de código abierto para comunicar información confidencial a través de la web. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación PasswordPusher, que afecta a las versiones `v1.41.1` hasta `v.1.48.0` incluida. El problema surge de un parámetro no desinfectado que podría permitir a los atacantes inyectar JavaScript malicioso en la aplicación. Los usuarios que alojan el sistema ellos mismos y tienen habilitado el sistema de inicio de sesión se ven afectados. La explotación de esta vulnerabilidad podría exponer los datos del usuario, el acceso a las sesiones del usuario o realizar acciones no deseadas en nombre de los usuarios. Para explotar esta vulnerabilidad, un atacante tendría que convencer a un usuario de que haga clic en un enlace de confirmación de cuenta malicioso. Se recomienda encarecidamente actualizar a la versión `v1.48.1` o posterior para mitigar este riesgo. No existen workarounds para esta vulnerabilidad. ### Solución Actualice a la versión `v1.48.1` o posterior donde se haya aplicado la desinfección de entrada al proceso de confirmación de cuenta. Si la actualización no es posible de inmediato,