Plataforma
other
Componente
plantuml
Corregido en
6.43.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en PlantUML, específicamente en las versiones 6.43. Esta falla permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta al componente Database Information Macro y puede ser explotada de forma remota. La versión 6.43.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en PlantUML permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario que visita una página generada por PlantUML. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de un usuario al iniciar sesión en una aplicación que utiliza PlantUML para generar diagramas o documentación. La explotación exitosa de esta vulnerabilidad podría comprometer la seguridad de la aplicación y los datos de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado una entrada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La disponibilidad de información pública sobre la vulnerabilidad facilita la creación y distribución de pruebas de concepto (PoC), lo que podría llevar a un aumento en los intentos de explotación.
Organizations and individuals using PlantUML versions 6.43 through 6.43, particularly those who rely on PlantUML to generate diagrams from user-supplied data or integrate it into web applications, are at risk. Shared hosting environments where multiple users can potentially influence PlantUML diagrams are also particularly vulnerable.
discovery
disclosure
patch
Estado del Exploit
EPSS
0.21% (43% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar PlantUML a la versión 6.43.1 o superior, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario antes de ser utilizadas en PlantUML. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección XSS conocidos. La validación estricta de las entradas de datos es crucial para prevenir la inyección de código malicioso.
Actualice PlantUML a una versión posterior a la 6.43 que haya corregido la vulnerabilidad de Cross-Site Scripting (XSS) en la macro de información de la base de datos. Consulte las notas de la versión o el registro de cambios de PlantUML para obtener detalles sobre la versión corregida. Si no hay una versión corregida disponible, considere deshabilitar o evitar el uso de la macro de información de la base de datos hasta que se publique una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36523 is a cross-site scripting (XSS) vulnerability affecting PlantUML versions 6.43 through 6.43, specifically the Database Information Macro component, allowing remote code execution.
You are affected if you are using PlantUML version 6.43. Upgrade to version 6.43.1 or later to mitigate the risk.
Upgrade PlantUML to version 6.43.1 or a later version. Consider input validation as a temporary workaround if upgrading is not immediately possible.
While there are no confirmed reports of active exploitation, the vulnerability has been publicly disclosed, increasing the potential for exploitation.
Refer to the PlantUML project's security advisories and release notes for details: https://plantuml.com/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.