Adive Framework 2.0.8.

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad alta que afectan a Adive Framework, un generador web y de paneles de administración, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

• CVE-2024-4336: 7.6 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-79
• CVE-2024-4337: 7.6 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L | CWE-79

No hay solución reportada por el momento.

• CVE-2024-4336: Adive Framework 2.0.8, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad persistente de Cross-Site Scripting (XSS) a través del /adive/admin/tables/add, en múltiples parámetros. Un atacante podría recuperar los detalles de la sesión de un usuario autenticado.
• CVE-2024-4337: Adive Framework 2.0.8, no codifica suficientemente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad persistente de Cross-Site Scripting (XSS) a través del /adive/admin/nav/add, en múltiples parámetros. Esta vulnerabilidad permite a un atacante recuperar los detalles de la sesión de un usuario autenticado.