PT-2020-12724 · Xdlocalstorage · Xdlocalstorage
Grimhacker
·
Publicado
2020-04-07
·
Atualizado
2022-05-24
·
CVE-2020-11610
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
xdLocalStorage versões 2.0.5 e anteriores
Descrição
Foi detectada uma falha na função
postData() no arquivo xdLocalStoragePostMessageApi.js, que define o curinga (*) como targetOrigin ao chamar a função postMessage() no objeto pai. Isso permite que qualquer domínio carregue o aplicativo que hospeda o “iframe mágico” e receba as mensagens que o “iframe mágico” envia.Recomendações
Para as versões 2.0.5 e anteriores, considere desativar a função
postData() no xdLocalStoragePostMessageApi.js até que um patch esteja disponível para impedir que qualquer domínio receba mensagens do “iframe mágico”. Restrinja o acesso ao “iframe mágico” para minimizar o risco de exploração. Evite usar o curinga (*) como targetOrigin na função postMessage() para impedir que domínios não autorizados recebam mensagens.Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xdlocalstorage