Plataforma
other
Componente
docs
Corregido en
unspecified
1.9.1
CVE-2022-22115 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Teedy, afectando versiones desde la 1.5 hasta la 1.9. Esta falla permite a un atacante inyectar scripts maliciosos en el nombre de una etiqueta, lo que podría resultar en la toma de control completa de la cuenta de un administrador. La vulnerabilidad fue publicada el 10 de enero de 2022 y se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
La vulnerabilidad XSS en Teedy presenta un riesgo significativo, ya que permite a un atacante inyectar código JavaScript malicioso en el nombre de una etiqueta. Cuando un usuario, especialmente un administrador con altos privilegios, visualiza esta etiqueta, el script se ejecuta en su contexto, permitiendo al atacante robar la Session ID. Con la Session ID en su poder, el atacante puede suplantar la identidad del administrador y realizar acciones no autorizadas, incluyendo la modificación de datos, la creación de nuevos usuarios o la ejecución de comandos en el sistema. Esta vulnerabilidad es particularmente peligrosa debido a la posibilidad de escalada de privilegios y la potencial exposición de información sensible.
CVE-2022-22115 se publicó el 10 de enero de 2022. No se ha reportado explotación activa a gran escala, pero la alta puntuación CVSS (9) indica un riesgo significativo. La vulnerabilidad es relativamente sencilla de explotar, lo que aumenta la probabilidad de que sea objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations using Teedy for tag management, particularly those with administrator accounts that frequently interact with the system, are at risk. Shared hosting environments where multiple users share the same Teedy instance are also particularly vulnerable, as an attacker could potentially compromise the entire hosting environment through this vulnerability.
• generic web:
curl -I <teedy_url>/edit_tag.php?tag_name='<script>alert(1)</script>• generic web:
grep -r '<script>' /var/log/apache2/access.log• generic web:
grep -r 'alert(' /var/log/apache2/error.logdisclosure
Estado del Exploit
EPSS
0.37% (59% percentil)
Vector CVSS
La mitigación principal para CVE-2022-22115 es actualizar Teedy a una versión corregida, si está disponible. Si la actualización no es posible de inmediato, se recomienda implementar una validación estricta de la entrada del usuario en la página de edición de etiquetas. Esto implica sanitizar o escapar cualquier carácter especial que pueda ser utilizado para inyectar código malicioso. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los registros del servidor en busca de intentos de inyección de código también puede ayudar a detectar y responder a ataques.
Actualice Teedy a una versión posterior a la 1.9. Esto solucionará la vulnerabilidad XSS almacenada en los nombres de las etiquetas. Asegúrese de que la nueva versión implemente un saneamiento adecuado de las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-22115 is a critical Stored Cross-Site Scripting (XSS) vulnerability in Teedy versions 1.5 through 1.9, allowing attackers to inject malicious scripts into Tag names.
If you are using Teedy versions 1.5, 1.6, 1.7, 1.8, or 1.9, you are vulnerable to this XSS attack.
The recommended fix is to upgrade Teedy to a patched version that addresses this vulnerability. Check the Teedy website for the latest version.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's critical severity makes it a potential target for attackers.
Refer to the Teedy project website or security mailing lists for official advisories and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.