Vulnerabilidad en Englesystem (CVE-2023-50924)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

22/12/2023

Última modificación:

05/01/2024

Descripción

Englesystem es un sistema de planificación de turnos para eventos de caos. Engelsystem anterior a v3.4.1 realizaba una validación insuficiente de los datos proporcionados por el usuario para los campos de DECT number, mobile number y work-log comment fields. Los valores de esos campos se mostrarían en las descripciones generales de registros correspondientes, lo que permitiría la inyección y ejecución de código Javascript en el contexto de otro usuario. Esta vulnerabilidad permite a un usuario autenticado inyectar Javascript en las sesiones de otros usuarios. El JS inyectado se ejecutará durante el uso normal del sistema al visualizar, por ejemplo, páginas de descripción general. Este problema se solucionó en la versión 3.4.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno