Integria IMS es vulnerable a Cross-Site Scripting (XSS)
Integria IMS, versión 5.0.92.
INCIBE ha coordinado la publicación de una vulnerabilidad en Integria IMS, con el código interno INCIBE-2021-0406, que ha sido descubierta por @_Barriuso (mención especial a @nag0mez).
A esta vulnerabilidad se le ha asignado el código CVE-2021-3834. Se ha calculado una puntuación base CVSS v3.1 de 5,4; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N.
Los parámetros de entrada han sido asegurados. Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
Integria IMS en su versión 5.0.92 no filtra correctamente algunos campos relacionados con el archivo login.php.
Un atacante podría explotar esta vulnerabilidad para realizar un ataque Cross-Site Scripting (XSS).
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
CWE-79: Neutralización inadecuada de la entrada durante la generación de la página web ('Cross-Site Scripting').
Línea temporal:
08/04/2021 - Descubrimiento por parte de los investigadores.
09/04/2021 - Los investigadores contactan con INCIBE.
20/05/2021 - Integria IMS confirma que la versión correctora y la nueva versión de software han sido publicadas (security patch).
06/10/2021 - INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.