Inicio / Alerta Temprana / Avisos Seguridad / Wocu Monitoring es vulnerable a Cross-Site Scripting (XSS) persistente

Wocu Monitoring es vulnerable a Cross-Site Scripting (XSS) persistente

Fecha de publicación: 
07/02/2022
Importancia: 
3 - Media
Recursos afectados: 

Wocu Monitoring, versiones 0.27 y superiores, pero anteriores a 48.2.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en Wocu Monitoring, con el código interno INCIBE-2022-0593, que ha sido descubierta por David Cámara Galindo, de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4035. Se ha calculado una puntuación base CVSS v3.1 de 6.8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H.

Solución: 

Esta vulnerabilidad ha sido resuelta por A3Sec en la versión 48.2 publicada el 03/12/2021. Todas las versiones de cliente afectadas fueron parcheadas desde el 03/12/2021 hasta el 05/12/2021.

El editor de texto TinyMCE es susceptible de sufrir un XSS al no validar el contenido recibido.

Todo el contenido ha sido saneado desde el lado del servidor, evitando inyecciones XSS.

Detalle: 

Se ha identificado un Cross-Site Scripting (XSS) persistente en la creación de informes debido a una versión obsoleta del editor TinyMCE.

Para explotar esta vulnerabilidad los atacantes necesitan una cuenta con suficientes privilegios para ver y editar informes.

CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración