Vulnerabilidad en reNgine (CVE-2025-24966)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/02/2025
Última modificación:
04/02/2025
Descripción
reNgine es un sistema de reconocimiento automatizado framework para aplicaciones web. La inyección HTML se produce cuando una aplicación valida o desinfecta incorrectamente las entradas del usuario, lo que permite a los atacantes inyectar código HTML arbitrario. En este escenario, la vulnerabilidad existe en la funcionalidad "Agregar destino" de la aplicación, donde los campos Organización de destino y Descripción de destino aceptan payloads HTML. El HTML inyectado se procesa y ejecuta en el área de destino, lo que puede provocar acciones maliciosas. La explotación de la inyección HTML puede comprometer la integridad de la aplicación y la confianza del usuario. Los atacantes pueden ejecutar acciones no autorizadas, robar información confidencial o engañar a los usuarios para que realicen acciones dañinas. La reputación de la organización, la confianza del cliente y el cumplimiento normativo podrían verse afectados negativamente. Este problema afecta a todas las versiones hasta incluida 2.2.0. Se recomienda a los usuarios que supervisen el proyecto para futuras versiones que solucionen este problema. No se conocen workarounds.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA