PT-2020-12940 · Bitcoin Abe · Abe
Geeknik
·
Publicado
2020-04-20
·
Atualizado
2020-05-05
·
CVE-2020-11944
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Abe (também conhecido como bitcoin-abe) versões 0.7.2 e anteriores, 0.8pre
Descrição
A vulnerabilidade permite um ataque XSS na função
call dentro do arquivo abe.py. Isso ocorre porque a variável de ambiente PATH INFO é tratada incorretamente durante uma exceção PageNotFound.Recomendações
Para as versões 0.7.2 e anteriores, e 0.8pre, considere restringir o acesso à função
call no abe.py até que uma correção adequada seja aplicada.Como solução temporária, evite usar a variável de ambiente
PATH INFO no tratamento da exceção PageNotFound afetada até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Abe