CVE-2005-4190
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/12/2005
Última modificación:
13/09/2011
Descripción
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Horde Application Framework anteriores a 3.0.8 permiten a usuarios remotos autenticados inyectar HTML o 'script' web de su elección mediante múltiples vectores, como se ha demostrado mediante (1) el campo identidad, (2) los campos de búsqueda "Category" y (3) "Label", (4) el campo "Mobile Phone", y (5) los campos "Date" y "Time" cuando se importa ficheros CSV, lo cual ha sido explotado mediante módulos como (a) Turba Address Book, (b) Kronolith, (c) Mnemo, y (d) Nag.
Impacto
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:horde:horde_application_framework:1.0.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.2_1:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.3_2:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.3_3:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.3_4:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.8:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.9:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.10:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.0.11:*:*:*:*:*:*:* | ||
cpe:2.3:a:horde:horde_application_framework:1.2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.horde.org/archives/announce/2005/000238.html
- http://secunia.com/advisories/17970
- http://secunia.com/advisories/19619
- http://secunia.com/advisories/19897
- http://secunia.com/advisories/20960
- http://www.debian.org/security/2006/dsa-1033
- http://www.novell.com/linux/security/advisories/2006_04_28.html
- http://www.novell.com/linux/security/advisories/2006_16_sr.html
- http://www.sec-consult.com/245.html
- http://www.securityfocus.com/bid/15802
- http://www.securityfocus.com/bid/15803
- http://www.securityfocus.com/bid/15804
- http://www.securityfocus.com/bid/15806
- http://www.securityfocus.com/bid/15808
- http://www.securityfocus.com/bid/15810
- http://www.vupen.com/english/advisories/2005/2835