CVE-2022-32770

CVSS 9.6 CRITICALEPSS 3.4%CWE-79

En resumen

Una vulnerabilidad en AVideo 11.6 permite a atacantes inyectar código JavaScript malicioso a través de la funcionalidad de alertas en el pie de página. Si un usuario hace clic en un enlace especialmente preparado, el código del atacante se ejecuta en su navegador y puede robar datos o realizar acciones en su nombre.

Detalle técnico

Vulnerabilidad de cross-site scripting (XSS) en el parámetro toast de la funcionalidad de alertas del pie de página de WWBN AVideo 11.6 y dev master (commit 3f7c0364). El parámetro se inserta en el DOM con sanitización insuficiente, permitiendo que usuarios autenticados sean engañados para enviar solicitudes HTTP manipuladas que ejecutan JavaScript arbitrario en el contexto del navegador de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.

A cross-site scripting (xss) vulnerability exists in the footer alerts functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. A specially-crafted HTTP request can lead to arbitrary Javascript execution. An attacker can get an authenticated user to send a crafted HTTP request to trigger this vulnerability.This vulnerability arrises from the "toast" parameter which is inserted into the document with insufficient sanitization.

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

WWBN · AVideo

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/WWBN/AVideo/blob/e04b1cd7062e16564157a82bae389eedd39fa088/updatedb/updateDb.v12.0.sql https://talosintelligence.com/vulnerability_reports/TALOS-2022-1538