Vulnerabilidad en el software de la herramienta de marketing social Stackposts
Identificación CVE | CVE-2024-7127 |
Fecha de publicación | 30 de julio de 2024 |
Proveedor | Publicaciones apiladas |
Producto | Herramienta de marketing social |
Versiones vulnerables | Todo |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de la entrada durante la generación de páginas web (XSS o ‘Cross-site Scripting’) (CWE-79) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre una vulnerabilidad en el software Stackposts Social Marketing Tool y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2024-7127 La herramienta de marketing social de Stackposts permite ataques de secuencias de comandos entre sitios (XSS). Al enviar la carga útil en el nombre de usuario durante el registro, se puede ejecutar más tarde en el panel de la aplicación. Esto podría provocar la adquisición no autorizada de información (por ejemplo, cookies de un usuario conectado).
Tras varios intentos de contactar con el proveedor no obtuvimos respuesta. Nuestro equipo ha confirmado la existencia de esta vulnerabilidad. Suponemos que este problema afecta a Social Marketing Tool en todas sus versiones.
Créditos
Agradecemos a Jakub Przepióra por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.