Vulnerabilidad en Saviynt (CVE-2025-3840)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

21/04/2025

Última modificación:

21/04/2025

Descripción

Se identificó una vulnerabilidad de neutralización de entrada incorrecta en el componente de instalación de conexión basado en OVA al final de su vida útil (EOL), que se implementa para su instalación en la red de un cliente. Este componente EOL quedó obsoleto en septiembre de 2023 y su fin de soporte se extendió hasta enero de 2024. Un actor puede manipular el parámetro de acción del formulario de inicio de sesión para inyectar scripts maliciosos que, en determinadas circunstancias, podrían provocar un ataque XSS.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://saviynt.com/trust-compliance-security