Vulnerabilidad en Trape (CVE-2017-17714)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/12/2017
Última modificación:
20/04/2025
Descripción
Trape en versiones anteriores a 2017-11-05 tiene una vulnerabilidad de Cross-Site Scripting (XSS) mediante el parámetro red en /nr , el parámetro vld en /nr, la cabecera HTTP User-Agent en /register, el parámetro country en /register , el parámetro countryCode en /register , el parámetro cpu en /register, el parámetro isp en /register , el parámetro lat en /register, el parámetro lon en /register , el parámetro org en /register, el parámetro query en /register, el parámetro region en /register, el parámetro regionName en /register, el parámetro timezone en /register, el parámetro vId en /register, el parámetro zip en /register o el parámetro id en /tping.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:boxug:trape:*:*:*:*:*:*:*:* | 2017-11-05 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/boxug/trape/commit/628149159ba25adbfc29a3ae1d4b10c7eb936dd3
- https://www.seekurity.com/blog/general/cve-2017-17713-and-cve-2017-17714-multiple-sql-injections-and-xss-vulnerabilities-found-in-the-hackers-tracking-tool-trape-boxug/
- https://www.youtube.com/watch?v=Txp6IwR24jY
- https://github.com/boxug/trape/commit/628149159ba25adbfc29a3ae1d4b10c7eb936dd3
- https://www.seekurity.com/blog/general/cve-2017-17713-and-cve-2017-17714-multiple-sql-injections-and-xss-vulnerabilities-found-in-the-hackers-tracking-tool-trape-boxug/
- https://www.youtube.com/watch?v=Txp6IwR24jY