Vulnerabilidad de Cross Site Scripting en OpenKM Document Management Community

Fecha de publicación: 27/08/2021

Importancia:
Media

Recursos afectados:

OpenKM Document Management Community, versión 6.3.10.

Descripción:

INCIBE ha coordinado la publicación de una vulnerabilidad en OpenKM Document Management Community, versión software, con el código interno INCIBE-2021-346, que ha sido descubierta por Jorge Gutiérrez Valderrama.

A esta vulnerabilidad se le ha asignado el código CVE-2021-3628. Se ha calculado una puntuación base CVSS v3.1 de 4,6; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N.

Solución:

Esta vulnerabilidad ha sido resuelta por OpenKM en su versión 6.3.11.

Detalle:

OpenKM Community Edition, versión 6.3.10, es vulnerable a Cross-site scripting (XSS). Un atacante podría explotar esta vulnerabilidad mediante la inyección de código arbitrario a través del parámetro uuid.

Esta vulnerabilidad ha sido resuelta por OpenKM en su versión 6.3.11.

CWE-79: Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting).

Línea temporal:

25/02/2021 – Descubrimiento por parte de los investigadores.
26/02/2021 – Los investigadores contactan con INCIBE.
25/05/2021 – OpenKM confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
27/08/2021 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.