El documento resume varias vulnerabilidades en diferentes módulos como bootstrap, jquery y Adobe Dreamweaver. Bootstrap presenta vulnerabilidades a scripts entre sitios a través de complementos como tooltips y collapse. Versiones de jquery tienen vulnerabilidades de scripts entre sitios al realizar solicitudes AJAX sin filtrar adecuadamente el tipo de datos. Adobe Dreamweaver también presenta una vulnerabilidad de inyección de comandos del sistema operativo.
3. Módulo vulnerable: bootstrap
Introducido a través de: bootstrap@3.3.2
Las versiones afectadas de este paquete
son vulnerables a los scripts entre sitios
(XSS) a través de tooltip, collapse y
los scrollspy complementos.
Módulo vulnerable: jquery
Introducido a través de: jquery@1.11.2
jquery Es la biblioteca de JavaScript para las operaciones de
DOM.
Las versiones afectadas del paquete son vulnerables a los
ataques de secuencias de comandos entre sitios (XSS) cuando
se realiza una solicitud de ajax entre dominios sin que
la dataTypeopción haga text/javascriptque se ejecuten las
respuestas.
4.
5. Módulo vulnerable: jquery
Introducido a través de: jquery@1.11.3
Módulo vulnerable: bootstrap
Introducido a través de: bootstrap@3.3.2
Las versiones afectadas de este paquete
son vulnerables a los scripts entre sitios
(XSS) a través de tooltip, collapse y
los scrollspy complementos.
En el caso de Joomla, una de las vulnerabilidades es la CVE-2017-14596, la
cual, debido a un filtrado inadecuado del plugin de autenticación de LDAP
puede permitir a un atacante acceder al usuario y contraseña. Esta
vulnerabilidad afecta a todas las versiones de Joomla desde 1.50 hasta la 3.7.5.
Otra de las vulnerabilidades, CVE-2017-14595, permite acceder al texto de
artículos archivados, debido a un fallo lógico en una consulta SQL. Esta
vulnerabilidad afecta a las versiones 3.7.0 a 3.7.5.
6. Módulo vulnerable: jquery
Introducido a través de: jquery@1.6,4
jquery Es la biblioteca de JavaScript para las operaciones de
DOM.
Las versiones afectadas del paquete son vulnerables a los
ataques de secuencias de comandos entre sitios (XSS) cuando
se realiza una solicitud de ajax entre dominios sin que
la dataTypeopción haga text/javascriptque se ejecuten las
respuestas.
CVE-2018-4924 Las versiones 18.0 y anteriores de
Adobe Dreamweaver CC tienen una
vulnerabilidad de Inyección de comandos del
sistema operativo. La explotación exitosa podría
llevar a la ejecución de código arbitrario en el
contexto del usuario actual.
7. Módulo vulnerable: bootstrap
Introducido a través de: bootstrap@4.0.0
bootstrap es un marco de aplicaciones para usuario popular para un
desarrollo web más rápido y sencillo.
Las versiones afectadas de este paquete son vulnerables a las
secuencias de comandos entre sitios (XSS) en las propiedades de
plantilla de datos, contenido de datos y título de datos de
información sobre herramientas / ventana emergente.
Módulo vulnerable: jquery
Introducido a través de: jquery@3.2.1
jquery es una biblioteca de JavaScript. Hace que cosas como la
manipulación y manipulación de documentos HTML, el manejo
de eventos, la animación y Ajax sean mucho más simples con
una API fácil de usar que funciona en una gran cantidad de
navegadores.
Las versiones afectadas de este paquete son vulnerables a la
contaminación prototipo. La extendfunción puede ser engañada
para modificar el prototipo Objectcuando el atacante controla
parte de la estructura que se pasa a esta función. Esto puede
permitir que un atacante agregue o modifique una propiedad
existente que luego existirá en todos los objetos.