Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Amazing Little Poll

Fecha de publicación 13/12/2023
Identificador
INCIBE-2023-0562
Importancia
5 - Crítica
Recursos Afectados
  • Amazing Little poll, versiones 1.3 y 1.4.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Amazing Little Poll, un script en PHP para la generación de encuestas, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:

  • CVE-2023-6768: CVSS v3.1: 9.4 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CWE-287.
  • CVE-2023-6769: CVSS v3.1: 6.5 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79.
Solución

No hay solución reportada por el momento. 

Detalle
  • CVE-2023-6768: vulnerabilidad de omisión de autenticación en Amazing Little Poll que afecta a las versiones 1.3 y 1.4. Esta vulnerabilidad podría permitir que un usuario, no autenticado, acceda al panel de administración sin proporcionar ninguna credencial, simplemente accediendo al parámetro "lp_admin.php?adminstep=".
  • CVE-2023-6769: vulnerabilidad XSS almacenada en Amazing Little Poll, que afecta a las versiones 1.3 y 1.4. Esta vulnerabilidad permite a un atacante remoto almacenar una carga útil de JavaScript maliciosa en el archivo "lp_admin.php" en los parámetros "question" e "item". Esta vulnerabilidad podría provocar una ejecución maliciosa de JavaScript mientras se carga la página.
Listado de referencias
Ficha de producto - Amazing Little Poll
Etiquetas