Plataforma
java
Componente
indeedeng/util
Corregido en
1.0.1
1.0.2
1.0.3
1.0.4
1.0.5
1.0.6
1.0.7
1.0.8
1.0.9
1.0.10
1.0.11
1.0.12
1.0.13
1.0.14
1.0.15
1.0.16
1.0.17
1.0.18
1.0.19
1.0.20
1.0.21
1.0.22
1.0.23
1.0.24
1.0.25
1.0.26
1.0.27
1.0.28
1.0.29
1.0.30
1.0.31
1.0.32
1.0.33
1.0.34
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Indeed Engineering util, afectando a versiones desde 1.0.0 hasta 1.0.33. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios, comprometiendo potencialmente la confidencialidad e integridad de la información. La actualización a la versión 1.0.34 resuelve esta vulnerabilidad.
La vulnerabilidad XSS en Indeed Engineering util permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso la instalación de malware. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario o para realizar otras acciones maliciosas. El impacto potencial depende del contexto de uso de Indeed Engineering util y de los privilegios del usuario afectado.
Esta vulnerabilidad fue publicada el 27 de diciembre de 2022. No se ha reportado explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de la corrección indica que el riesgo es bajo. No se encuentra en el KEV de CISA. Se recomienda aplicar la actualización lo antes posible para evitar posibles ataques.
Organizations using Indeed Engineering util in their applications, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same infrastructure are also at increased risk, as a vulnerability in one application could potentially be exploited to compromise others.
• java / server:
# Check for vulnerable versions of Indeed Engineering util
find / -name "varexport-1.0.x.jar" -print -quit• generic web:
# Check response headers for potential XSS indicators
curl -I <application_url>discovery
disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Indeed Engineering util a la versión 1.0.34, que incluye la corrección del problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verifique después de la actualización que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice la biblioteca Indeed Engineering util a la versión 1.0.34 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) presente en versiones anteriores. Puede obtener la versión actualizada desde el repositorio oficial o a través de su gestor de dependencias.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36634 is a cross-site scripting (XSS) vulnerability affecting Indeed Engineering util versions 1.0.0 through 1.0.33, allowing attackers to inject malicious scripts.
You are affected if you are using Indeed Engineering util versions 1.0.0 to 1.0.33. Upgrade to 1.0.34 to resolve the issue.
Upgrade Indeed Engineering util to version 1.0.34 or later. Implement input validation and output encoding as a temporary workaround.
No active exploitation campaigns have been publicly reported, but the vulnerability remains a risk.
Refer to VDB-216882 for details on this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.