Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Adive Framework

Fecha de publicación 30/04/2024
Identificador
INCIBE-2024-0216
Importancia
4 - Alta
Recursos Afectados

Adive Framework 2.0.8.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan a Adive Framework, un generador web y de paneles de administración, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4336: 7.6 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-79
  • CVE-2024-4337: 7.6 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2024-4336: Adive Framework 2.0.8, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad persistente de Cross-Site Scripting (XSS) a través del /adive/admin/tables/add, en múltiples parámetros. Un atacante podría recuperar los detalles de la sesión de un usuario autenticado.
  • CVE-2024-4337: Adive Framework 2.0.8, no codifica suficientemente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad persistente de Cross-Site Scripting (XSS) a través del /adive/admin/nav/add, en múltiples parámetros. Esta vulnerabilidad permite a un atacante recuperar los detalles de la sesión de un usuario autenticado.