Raffaella Robles

#10580de 53,634
26.1CVSS total
Vulnerabilidades · 4
Média
3
Alta
1
PT-2023-12953
8.8
2023-07-24
Nokia · Nokia Netact · CVE-2022-28863
**Name of the Vulnerable Software and Affected Versions** Nokia NetAct version 22 **Description** A remote user, authenticated to the website, can visit the Site Configuration Tool section and arbitrarily upload potentially dangerous files without restrictions via the "/netact/sct" dir parameter in conjunction with the `operation`=`upload` value. **Recommendations** For Nokia NetAct version 22, restrict access to the "/netact/sct" endpoint to prevent arbitrary file uploads until a patch is available. As a temporary workaround, consider disabling the file upload functionality in the Site Configuration Tool section to minimize the risk of exploitation.
PT-2023-12955
5.4
2023-07-24
Nokia · Nokia Netact · CVE-2022-28865
**Name of the Vulnerable Software and Affected Versions** Nokia NetAct version 22 **Description** An issue was discovered in the Site Configuration Tool website section, where a malicious user can change the filename of an uploaded file to include JavaScript code. This code is then stored and executed by a victim's web browser. The most common mechanism for delivering malicious content is to include it as a parameter in a URL that is posted publicly or e-mailed directly to victims. The API endpoint "/netact/sct" with the `filename` parameter is used for this purpose. **Recommendations** For Nokia NetAct version 22, consider disabling the ability to upload files through the Site Configuration Tool website section until a patch is available. Restrict access to the "/netact/sct" API endpoint to minimize the risk of exploitation. Avoid using the `filename` parameter in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2021-17069
5.4
2021-03-25
Nokia · Nokia Netact · CVE-2021-26596
**Nome do software vulnerável e versões afetadas** Nokia NetAct versão 18A **Descrição** Um usuário mal-intencionado pode modificar o nome de um arquivo enviado para incluir código JavaScript. Esse código é então armazenado e executado pelo navegador da vítima. A vulnerabilidade pode ser explorada incluindo conteúdo malicioso como um parâmetro em uma URL, que é então publicada publicamente ou enviada por e-mail às vítimas. Especificamente, é utilizado o endpoint da API `/netact/sct`, sendo que o parâmetro `filename` está vulnerável. **Recomendações** Para o Nokia NetAct versão 18A, considere desativar a capacidade de enviar arquivos ou restringir o acesso ao endpoint da API `/netact/sct` até que uma correção esteja disponível. Além disso, evite usar o parâmetro `filename` no endpoint da API afetado para minimizar o risco de exploração.
PT-2021-17070
6.5
2021-03-25
Nokia · Nokia Netact · CVE-2021-26597
**Nome do software vulnerável e versões afetadas** Nokia NetAct versão 18A **Descrição** Um usuário remoto, autenticado na página da Web do Nokia NetAct, pode fazer upload de arquivos potencialmente perigosos sem restrições. Isso é possível ao acessar a seção do site da Ferramenta de Configuração do Site e utilizar o endpoint da API `/netact/sct` com o parâmetro `dir` em conjunto com o valor `operation=upload`. **Recomendações** Para o Nokia NetAct versão 18A, restrinja o acesso ao endpoint da API `/netact/sct` para impedir uploads arbitrários de arquivos até que uma correção esteja disponível. Como solução alternativa temporária, considere desativar a funcionalidade de upload de arquivos por meio do valor `operation=upload` para minimizar o risco de exploração.