Argitalpen data: 2022/02/08

Garrantzia:Ertaina

Kaltetutako baliabideak:

GIM honako bertsioak: v8.01 (r17331), (20200429) eta 8.0.1 (r30155), (20210407).

Azalpena:

TCMAN GIM-ek duen ahultasun baten argitalpena koordinatu du INCIBEk. Bere barne kodea INCIBE-2022-0596 da eta Pablo Arias Rodríguez eta Jorge Alberto Palma Reyes-ek aurkitu dute, CSIRT-CV-ko Red Team-eko ikertzaileak.

CVE-2021-4046 kodea esleitu zaio ahultasun horri. CVSS v3.1-en arabera 6,5eko oinarrizko puntuazioa kalkulatu zaio, CVSSren kalkulua honakoa izanik: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L.

Konponbidea:

TCMAN-ek ahultasun hori GIM v8.0.1 Release 31734 bertsioan konpondu du.

Xehetasuna:

TCMAN GIM-eko m_txtNom eta m_txtCognoms parametroak baliatuz erasotzaile batek XSS eraso iraunkorrak egin litzake.

Ahultasun hau baliatu liteke nabigatzailean oinarritutako hainbat eraso egiteko, nabigatzailearen bahiketa eta datu sentikorren lapurreta barne.

CWE-79: sarreraren neutralizazio okerra web orrialdea sortzean (Cross-Site Scripting).

Ohartarazpen honi buruzko informazio gehiago baldin badaukazu jarri harremanetan INCIBErekin, CVE-en esleipena eta argitalpena atalean adierazten den moduan.

Etiketak:0day, Eguneraketa, CNA, Ahultasuna