Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en DirectAdmin Evolution Skin (CVE-2024-10385)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/12/2024
Última modificación:
20/12/2024

Descripción

El sistema de gestión de tickets en DirectAdmin Evolution Skin es vulnerable a XSS (Cross-site Scripting), que permite a un usuario con poco nivel de privilegios inyectar y almacenar código JavaScript malicioso. Si un administrador ve el ticket, el script puede realizar acciones con sus privilegios, incluida la ejecución de comandos. Este problema se ha solucionado en la versión 1.668 de DirectAdmin Evolution Skin.