Vulnerabilidad en Avo (CVE-2024-22191)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

16/01/2024

Última modificación:

24/01/2024

Descripción

Avo es un framework para crear paneles de administración para aplicaciones Ruby on Rails. Se encontró una vulnerabilidad de cross site scripting (XSS) almacenado en el campo key_value de Avo v3.2.3. Esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario en el navegador de la víctima. El valor de key_value se inserta directamente en el código HTML. En la versión actual de Avo (posiblemente también en versiones anteriores), el valor no se sanitiza adecuadamente antes de insertarlo en el código HTML. Esta vulnerabilidad podría usarse para robar información confidencial de las víctimas que podría usarse para secuestrar las cuentas de las víctimas o redirigirlas a sitios web maliciosos. Avo 3.2.4 incluye una solución para este problema. Se recomienda a los usuarios que actualicen.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno