Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad XSS en GigaVue-FM

Fecha de publicación 24/02/2023
Identificador

INCIBE-2023-0070

Importancia
3 - Media
Recursos Afectados
  • GigaVUE-FM con el sistema operativo GigaVUE-OS 5.0 202.
Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad en GigaVUE-FM de Gigamon, que ha sido descubierta por Albert Sanchez Miñano.

A esta vulnerabilidad se le ha asignado el código CVE-2023-0746. Se ha calculado una puntuación base CVSS v3.1 de 6,3, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L. El tipo de vulnerabilidad es CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).

Solución

Se recomienda actualizar a la última versión disponible de GigaVUE-OS.

Detalle

La página de ayuda en GigaVue-FM, cuando usa la versión de software 5.0 202 de GigaVUE-OS, no requiere de un usuario autenticado. Un atacante podría forzar a un usuario a insertar código JavaScript malicioso en la URI, lo que podría conducir a un XSS (Cross-Site Scripting) reflejado.

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de 'Asignación y publicación de CVE'.

Encuesta valoración