Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Sage DPW (CVE-2024-56882)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/02/2025
Última modificación:
19/02/2025

Descripción

Sage DPW antes de 2024_12_000 es vulnerable a Cross Site Scripting (XSS). Los usuarios de SAGE de bajo privilegio con permisos de roles de empleados pueden almacenar permanentemente el código JavaScript en los campos de entrada Kurstitel y Kurzinfo. El payload inyectado se ejecuta para cada usuario autenticado que ve e interactúa con los elementos de datos modificados.

Referencias a soluciones, herramientas e información