Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de Cross-Site Scripting (XSS) en WideStand CMS de Acilia

Fecha de publicación 02/08/2023
Identificador

INCIBE-2023-0318

Importancia
3 - Media
Recursos Afectados

Widestand CMS, versiones 5.3.5 e inferiores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a WideStand CMS, una solución CMS profesional desarrollada por Acilia y basado en el framework Symfony, la cual ha sido descubierta por Ángel Heredia Pérez, de Telefónica Tech. 

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-4090:

  • Puntuación base CVSS v3.1: 5.4.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N.
  • Tipo de vulnerabilidad: CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).
Solución

No hay solución reportada por el momento.

Detalle

CVE-2023-4090: vulnerabilidad de Cross-site Scripting (XSS) reflejado en WideStand hasta la versión 5.3.5, el cual genera una de las etiquetas meta directamente utilizando el contenido de la URL consultada, lo que permitiría a un atacante inyectar código HTML/Javascript en la respuesta.

Listado de referencias
WideStand CMS: ficha de producto
Etiquetas