PT-2020-10352 · Treasuryxpress · Treasuryxpress
Publicado
2020-08-20
·
Atualizado
2020-08-24
·
CVE-2019-20151
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
TreasuryXpress versão 19191105
Descrição
Foi descoberta uma falha de segurança devido à falta de filtragem e sanitização das entradas do usuário, permitindo que JavaScript malicioso seja executado pelo(s) administrador(es) do aplicativo. Uma carga maliciosa pode ser injetada no componente de segurança Multi Approval através do campo
Note, resultando na execução da carga pelo(s) administrador(es) do aplicativo.Recomendações
Para o TreasuryXpress versão 19191105, como solução temporária, considere desativar o campo
Note no componente de segurança Multi Approval para impedir a injeção de carga maliciosa até que uma correção esteja disponível. Restrinja o acesso ao componente de segurança Multi Approval para minimizar o risco de exploração. Evite usar o campo Note no componente afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Treasuryxpress