PT-2020-10490 · Frappé Technologies · Erpnext
Publicado
2020-03-19
·
Atualizado
2020-03-19
·
CVE-2019-20514
CVSS v3.1
7.4
Alta
| Vetor | AC:L/AV:N/A:N/C:H/I:N/PR:N/S:C/UI:R |
Nome do software vulnerável e versões afetadas
ERPNext versão 11.1.47
Descrição
A vulnerabilidade permite um ataque XSS refletido por meio da variável
PATH INFO no endereço/URI. Isso pode ser explorado através da manipulação da variável PATH INFO na solicitação.Recomendações
Para a versão 11.1.47 do ERPNext, considere restringir o acesso ao URI vulnerável para minimizar o risco de exploração. Como solução temporária, evite usar a variável
PATH INFO no endereço/URI afetado até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext