Vulnerabilidad de Cross Site Scripting en OpenKM Document Management Community
OpenKM Document Management Community, versión 6.3.10.
INCIBE ha coordinado la publicación de una vulnerabilidad en OpenKM Document Management Community, versión software, con el código interno INCIBE-2021-346, que ha sido descubierta por Jorge Gutiérrez Valderrama.
A esta vulnerabilidad se le ha asignado el código CVE-2021-3628. Se ha calculado una puntuación base CVSS v3.1 de 4,6; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N.
Esta vulnerabilidad ha sido resuelta por OpenKM en su versión 6.3.11.
OpenKM Community Edition, versión 6.3.10, es vulnerable a Cross-site scripting (XSS). Un atacante podría explotar esta vulnerabilidad mediante la inyección de código arbitrario a través del parámetro uuid.
Esta vulnerabilidad ha sido resuelta por OpenKM en su versión 6.3.11.
CWE-79: Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting).
Línea temporal:
25/02/2021 – Descubrimiento por parte de los investigadores.
26/02/2021 – Los investigadores contactan con INCIBE.
25/05/2021 – OpenKM confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
27/08/2021 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
