Múltiples vulnerabilidades XSS en LocalServer
LocalServer, versión 1.0.9.
INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media que afectan a LocalServer (desarrollado por Ujang Rohidin) en su versión 1.0.9, un software para Windows que permite convertir un PC en un servidor web local en el que se encuentran los servidores Apache, PHP y MySQL, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- desde CVE-2024-10286 hasta CVE-2024-10289: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
No hay solución reportada por el momento.
Vulnerabilidades de Cross-Site Scripting (XSS) que afectan a LocalServer 1.0.9 y cuya explotación podrían permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2024-10286: parámetro to en /testmail/index.php.
- CVE-2024-10287: parámetro ListName en /mlss/ForgotPassword.
- CVE-2024-10288: parámetro ListName en /mlss/SubscribeToList.
- CVE-2024-10289: parámetro MSubListName en /mlss/ManageSubscription.
