Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Cross-Site Scripting en Alumne LMS

Fecha de publicación 28/11/2023
Identificador
INCIBE-2023-0525
Importancia
3 - Media
Recursos Afectados

Alumne LMS, versión 4.0.0.1.08.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta la plataforma de e-learning Alumne LMS en su versión 4.0.0.1.08, que ha sido descubierta por Ignacio Lis Malagón.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-6359: CVSS v3.1: 5.4 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución

La vulnerabilidad ha sido corregida en la versión de Alumne LMS 4.0.0.1.44.

Detalle
  • CVE-2023-6359: se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) en Alumne LMS que afecta a la versión 4.0.0.1.08. Un atacante podría explotar el parámetro 'localidad' para inyectar una carga útil JavaScript personalizada y tomar parcialmente la sesión del navegador de otro usuario, debido a la falta de saneamiento adecuado del campo 'localidad' en la página /usuarios/editmy.
Listado de referencias