PT-2020-12074 · Chadha · Chadha Phpkb Standard Multi-Language
Nitokhantonio
·
Publicado
2020-03-12
·
Atualizado
2022-08-19
·
CVE-2020-10404
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Chadha PHPKB Standard Multi-Language versão 9
Descrição
O problema diz respeito ao tratamento de URIs no arquivo admin/header.php, o que permite ataques XSS refletidos. Isso pode ser explorado pela injeção de scripts web ou HTML arbitrários no arquivo admin/edit-field.php por meio da adição de um ponto de interrogação (?) seguido pela carga maliciosa.
Recomendações
Para o Chadha PHPKB Standard Multi-Language versão 9, considere restringir o acesso ao endpoint admin/edit-field.php para minimizar o risco de exploração. Como solução temporária, evite usar o arquivo admin/header.php até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Chadha Phpkb Standard Multi-Language