PT-2020-13080 · Rconfig · Rconfig
Farid007
·
Publicado
2020-05-18
·
Atualizado
2020-05-18
·
CVE-2020-12259
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
rConfig versão 3.9.4
Descrição
O problema diz respeito à validação inadequada das entradas do usuário no arquivo configDevice.php, permitindo ataques XSS refletidos. Um invasor pode explorar essa vulnerabilidade criando código JavaScript arbitrário no parâmetro GET
rid do endpoint “devicemgmnt.php”.Recomendações
Para a versão 3.9.4 do rConfig, considere restringir o acesso ao arquivo configDevice.php e ao endpoint devicemgmnt.php até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro
rid no endpoint devicemgmnt.php para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rconfig