Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-17496

Vulnerabilidad en los datos de subWidgets en una petición de ajax /render/widget_tabbedcontainer_tab_panel en vBulletin (CVE-2020-17496)

Tipo: 
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Gravedad: 
Alta
Fecha publicación : 
12/08/2020
Última modificación: 
17/08/2020
Descripción
vBulletin versiones 5.5.4 hasta 5.6.2, permite una ejecución de comandos remota por medio de datos de subWidgets diseñados en una petición de ajax /render/widget_tabbedcontainer_tab_panel. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2019-16759
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:vbulletin:vbulletin:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos