Vulnerabilidad en Ibexa Admin UI Bundle (CVE-2024-53864)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

29/11/2024

Última modificación:

29/11/2024

Descripción

Ibexa Admin UI Bundle contiene todas las partes necesarias para ejecutar la interfaz de back office de Ibexa DXP. El patrón de nombre de contenido se utiliza para crear nombres de contenido a partir de uno o más campos. Se ha encontrado una vulnerabilidad de XSS en este mecanismo. Se requiere permiso de edición de contenido para explotarla. Después de la solución, no se ejecutará ningún XSS inyectado existente. Este problema se ha corregido en la versión 4.6.14. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Vulnerabilidad en Ibexa Admin UI Bundle (CVE-2024-53864)

Descripción

Impacto

Referencias a soluciones, herramientas e información