Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29434

Vulnerabilidad en la interfaz de administración en una petición POST en Wagtail (CVE-2021-29434)

Tipo: 
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Gravedad: 
Baja
Fecha publicación : 
19/04/2021
Última modificación: 
29/04/2021
Descripción
Wagtail es un sistema de gestión de contenido de Django. En las versiones afectadas de Wagtail, al guardar el contenido de un campo de texto enriquecido en la interfaz de administración, Wagtail no aplica comprobaciones del lado del servidor para garantizar a las URL de los enlaces usar un protocolo válido. Un usuario malicioso con acceso a la interfaz de administración podría entonces diseñar una petición POST para publicar contenido con URLs "javascript:" que contengan código arbitrario. La vulnerabilidad no es explotable por un visitante ordinario del sitio sin acceso al administrador de Wagtail. Véase el aviso de GitHub al que se hace referencia para obtener detalles adicionales, incluyendo una solución alternativa. Las versiones parcheadas ha sido lanzadas como Wagtail versión 2.11.7 (para la rama LTS 2.11) y Wagtail versión 2.12.4 (para la rama 2.12 actual)
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:torchbox:wagtail:*:*:*:*:lts:*:*:*
  • cpe:2.3:a:torchbox:wagtail:*:*:*:*:-:*:*:*
  • cpe:2.3:a:torchbox:wagtail:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos