Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Cross Site Scripting (XSS) akatsak Tiki-Wiki Cross softwarean

Argitalpen data: 2020/03/30

Garrantzia: Ertaina 

Kaltetutako baliabideak: 

Tiki Wiki CMS, 20.0 bertsioa eta lehenagokoak.

Azalpena: 

INCIBEk koordinatu du Tiki Wiki edukien kudeatzaileak duen ahultasun baten argitalpena, CSIRT-CVko S2Grupo-ko Pablo Sebastián Arias Rodríguez, Rubén Barberà Pérez eta Jorge Alberto Palma Reyes-ek aurkitua. Esker on berezi bat dauka CSIRT-CVko ekipoarentzat (https://www.csirtcv.gva.es), honakoek osatua: Lourdes Herrero, Maite Moreno, José Vila, Adrián Antón, Adrián Capdevila, Aurora Villegas, Eva Lleonart, Fernando Cózar, Javier García, Manuel Rosa, Mario Ortiz, Mayte Aranda, Oscar Martínez, Sergio Hernández eta Yolanda Olmedo. Eurek aurkitu zuten XSS akatsa Tiki-Wiki CMS softwarean.

CVE-2020-8966 kodea esleitu zaio ahultasun horri. CVSS v3-ren arabera 6,5eko oinarrizko puntuazioa kalkulatu da, CVSSren kalkulua honakoa izanik: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:H/RL:W/RC:C/CR:H/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:R/MS:U/MC:H/MI:N/MA:N

Konponbidea: 

21.0 bertsiora eguneratzea.

Xehetasuna: 

Goranzko osagai baten informazioa jasotzen dute php orri batzuek, baina ez ditu neutralizatzen edo oker neutralizatzen ditu "< ", " >", eta "&" bezalako karaktere bereziak. Karaktere horiek web komandoen sekuentzien elementu modura interpreta litezke, web orrialdeak prozesatzen dituen beheranzko osagai batera bidaltzen direnean.

CWE-80: Web orrialde bateko script-ekin (XSS oinarrizkoa) erlazionatutako HTML etiketen neutralizazio okerra.

Denborazko lerroa

2019/11/27 - Ikertzaileen aurkikuntza.
2020/02/04 - Ikertzaileak harremanetan jarri ziren INCIBErekin.
2020/02/21 - Tiki-Wiki Security Team-ek ahultasuna konfirmatu zion INCIBEri.
2020/02/28 - Garatzaileak konfirmatu zuen softwarearen bertsio berri bat eta partxe zuzentzailea argitaratu zirela. INCIBEk, ikertzaileek eta garatzaileak soluzioa aztertu zuten eta ohartarazpena martxoaren 31n zabaltzea erabaki zuten.
2020/03/31 - INCIBEk ohartarazpena argitaratu zuen

INCIBEn jasotako ohartarazpen guztiak "bere horretan" eskaintzen dira, xede informatzaile hutsarekin. INCIBEk ez du inolako bermerik eskaintzen horietan jasotako informazioari dagokionez. INCIBEk ez du babesten ohartarazpen honetan jasotako inolako produktu edo zerbitzu komertzialik.

Ohartarazpen honi buruzko informaziorik baduzu, harremanetan jarri INCIBErekin ahultasunen jakinarazpenean adierazten den moduan.

Etiketak: 0day, CMS, CNA, Ahultasuna