Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-41139

Vulnerabilidad en el parámetro de fecha en URI en Anuko Time Tracker (CVE-2021-41139)

Tipo: 
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Gravedad: 
Media
Fecha publicación : 
13/10/2021
Última modificación: 
20/10/2021
Descripción
Anuko Time Tracker es una aplicación de seguimiento de tiempo de código abierto, basada en la web y escrita en PHP. Cuando un usuario conectado selecciona una fecha en Time Tracker, se pasa por medio del parámetro de fecha en URI. Debido a que no se comprobaba este parámetro para saneo en las versiones anteriores a 1.19.30.5600, era posible diseñar el URI con JavaScript malicioso, usar ingeniería social para convencer al usuario conectado de que hiciera clic en dicho enlace y hacer que el JavaScript suministrado por el atacante se ejecutara en el navegador del usuario. Este problema está parcheado en la versión 1.19.30.5600. Como solución, es posible introducir la función "ttValidDbDateFormatDate" como en la última versión y añadir una llamada a la misma dentro del bloque de comprobación de acceso en el archivo time.php
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:anuko:time_tracker:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos