PT-2020-13077 · Rconfig · Rconfig
Farid007
·
Publicado
2020-05-18
·
Atualizado
2020-05-18
·
CVE-2020-12256
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
rConfig versão 3.9.4
Descrição
O problema diz respeito à validação inadequada das entradas do usuário no arquivo
devicemgmnt.php, permitindo ataques XSS refletidos. Um invasor pode explorar essa vulnerabilidade criando código JavaScript arbitrário no parâmetro GET deviceId do endpoint “devicemgmnt.php”.Recomendações
Para a versão 3.9.4, considere desativar o arquivo
devicemgmnt.php ou restringir o acesso a ele até que uma correção esteja disponível. Evite usar o parâmetro deviceId no endpoint afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rconfig