Fecha de publicación: 06/10/2021
Importancia:
Media
Recursos afectados:
Integria IMS, versión 5.0.92.
Descripción:
INCIBE ha coordinado la publicación de una vulnerabilidad en Integria IMS, con el código interno INCIBE-2021-0406, que ha sido descubierta por @_Barriuso (mención especial a @nag0mez).
A esta vulnerabilidad se le ha asignado el código CVE-2021-3834. Se ha calculado una puntuación base CVSS v3.1 de 4,2; siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N.
Solución:
Los parámetros de entrada han sido asegurados. Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
Detalle:
Integria IMS en su versión 5.0.92 no filtra correctamente algunos campos relacionados con el archivo login.php.
Un atacante podría explotar esta vulnerabilidad para realizar un ataque Cross-Site Scripting (XSS).
Esta vulnerabilidad ha sido corregida en Integria IMS 5.0.93.
CWE-79: Neutralización inadecuada de la entrada durante la generación de la página web (‘Cross-Site Scripting’).
Línea temporal:
08/04/2021 – Divulgación de los investigadores.
09/04/2021 – Los investigadores contactan con INCIBE.
20/05/2021 – Integria IMS confirma que la versión correctora y la nueva versión de software han sido publicadas (security patch).
06/10/2021 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
Etiquetas:
0day, Actualización, CNA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.