Plataforma
other
Componente
polarion
Corregido en
19.2.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente webclient de Siemens AG Polarion. Esta vulnerabilidad, de tipo reflejado, permite a un atacante inyectar scripts maliciosos en las páginas web generadas. La vulnerabilidad afecta a todas las versiones de Polarion anteriores a la 19.2. Una actualización a la versión 19.2 soluciona este problema.
Un atacante podría aprovechar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto potencial es moderado, ya que requiere que un usuario interactúe con un enlace o contenido malicioso. La explotación exitosa podría comprometer la confidencialidad e integridad de los datos almacenados en Polarion.
Esta vulnerabilidad fue publicada el 27 de noviembre de 2019. No se han reportado casos de explotación activa en entornos reales. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario y la disponibilidad de una solución.
Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and release management. Shared hosting environments or deployments with limited security controls may be particularly vulnerable.
• other / web:
curl -I 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' | grep 'Content-Security-Policy'• other / web:
curl 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' > /tmp/output.html; grep -i '<script>' /tmp/output.htmldisclosure
Estado del Exploit
EPSS
0.34% (57% percentil)
Vector CVSS
La mitigación principal es actualizar a la versión 19.2 de Siemens AG Polarion, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique que la configuración de seguridad de Polarion sea la más restrictiva posible.
Actualice Siemens Polarion a la versión 19.2 o superior. Esta actualización corrige la vulnerabilidad XSS reflejada en el webclient.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-13934 is a reflected XSS vulnerability in the webclient component of Siemens Polarion, allowing attackers to inject malicious scripts. It affects versions prior to 19.2.
You are affected if you are using Siemens Polarion versions prior to 19.2. Upgrade to 19.2 or later to mitigate the risk.
Upgrade to Siemens Polarion version 19.2 or later. Implement input validation and output encoding as a temporary workaround if immediate upgrade is not possible.
No active exploitation campaigns targeting CVE-2019-13934 have been publicly reported at this time.
Refer to the Siemens Security Notice: https://us-cert.cisa.gov/ics/advisories/icsa-19-311-01
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.