Vulnerabilidad en Password Pusher (CVE-2024-51989)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/11/2024
Última modificación:
08/11/2024
Descripción
Password Pusher es una aplicación de código abierto para comunicar información confidencial a través de la web. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación PasswordPusher, que afecta a las versiones `v1.41.1` hasta `v.1.48.0` incluida. El problema surge de un parámetro no desinfectado que podría permitir a los atacantes inyectar JavaScript malicioso en la aplicación. Los usuarios que alojan el sistema ellos mismos y tienen habilitado el sistema de inicio de sesión se ven afectados. La explotación de esta vulnerabilidad podría exponer los datos del usuario, el acceso a las sesiones del usuario o realizar acciones no deseadas en nombre de los usuarios. Para explotar esta vulnerabilidad, un atacante tendría que convencer a un usuario de que haga clic en un enlace de confirmación de cuenta malicioso. Se recomienda encarecidamente actualizar a la versión `v1.48.1` o posterior para mitigar este riesgo. No existen workarounds para esta vulnerabilidad. ### Solución Actualice a la versión `v1.48.1` o posterior donde se haya aplicado la desinfección de entrada al proceso de confirmación de cuenta. Si la actualización no es posible de inmediato,
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA