Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/11/2018
La fallada detectada permet executar programes de forma remota, en la màquina de la víctima, combinant-lo amb altres atacs com Read Local File i Remote Command Execute.
Si un usuari afig una imatge a alguna nota i canvia el nom de la imatge per codi Javascript, s'executa. Com en guardar la nota queda emmagatzemat el codi Javascript injectat, ens trobem amb un XSS persistent.
Sistemes Afectats:Versions anteriors a la 6.16.4 en Windows
Referències:CVE-2018-18524
Solució:Actualitzar amb l'últim pegat, llançat a principis d'aquest mes, amb versió 6.16.4.
Notes: