Vulnerabilidad en la entrada json en Ajax.NET Professional (AjaxPro) (CVE-2021-43853)
Severidad:
MEDIA
Type:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
22/12/2021
Última modificación:
09/08/2022
Descripción
Ajax.NET Professional (AjaxPro) es un framework AJAX disponible para Microsoft ASP.NET. Las versiones afectadas de este paquete son vulnerables a una inyección de objetos de JavaScript, lo que puede resultar en una vulnerabilidad de tipo cross site scripting cuando es aprovechada por un usuario malicioso. El núcleo afectado está relacionado con la creación de objetos JavaScript cuando es analizada la entrada json. Las versiones anteriores a la 21.12.22.1 están afectadas. Se presenta una solución que reemplaza uno de los archivos JavaScript del núcleo insertado en la biblioteca. Consulte el documento GHSA-5q7q-qqw2-hjq7 para conocer los detalles de la solución
Impacto
Puntuación base 3.x
5.40
Severidad 3.x
MEDIA
Puntuación base 2.0
3.50
Severidad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:ajax.net_professional_project:ajax.net_professional:*:*:*:*:*:*:*:* | 21.12.22.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página