Vulnerabilidad en JWIG (CVE-2007-3816)
Severidad:
Pendiente de análisis
Type:
No Disponible / Otro tipo
Fecha de publicación:
17/07/2007
Última modificación:
07/08/2024
Descripción
** EN DISPUTA ** JWIG podría permitir a atacantes dependientes del contexto provocar denegación de servicio (degradación de servicio) a través de búcles de referencias a plantillas externas. NOTA: este problema ha sido cuestionado por múltiples terceras partes que afirman que sólo el desarrollador de la aplicación puede disparar el problema, así que no se cruza ningún límite de privilegios. De todos modos, parece posible que este sea un tipo de vulnerabilidad a la que una aplicación JWIG podría ser vulnerable si los contenidos de la plantilla pueden ser influenciados, pero esto sería un problema en la aplicación misma, no JWIG.
Impacto
Puntuación base 2.0
7.80
Severidad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:brics:jwig:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064768.html
- http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064933.html
- http://seclists.org/bugtraq/2007/Jul/0206.html
- http://seclists.org/fulldisclosure/2007/Jul/0446.html
- http://seclists.org/fulldisclosure/2007/Jul/0451.html
- http://www.secniche.org/papers/HackAnnotationsInJWIG.pdf
- http://www.securityfocus.com/archive/1/473707/100/0/threaded
- http://www.securityfocus.com/archive/1/474474/100/200/threaded
- http://www.securityfocus.com/bid/24974
- http://www.securitytracker.com/id?1018432=
- https://exchange.xforce.ibmcloud.com/vulnerabilities/35515