PT-2020-13093 · Ismartgate · Ismartgate Pro
Publicado
2020-09-24
·
Atualizado
2020-09-27
·
CVE-2020-12282
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
iSmartgate PRO versão 1.5.9
Descrição
O problema diz respeito a uma vulnerabilidade CSRF que pode ser explorada por meio do parâmetro
busca no formulário utilizado para pesquisar usuários, acessível através do endpoint da API “/index.php”. Essa vulnerabilidade pode ser combinada com XSS refletido.Recomendações
Para o iSmartgate PRO versão 1.5.9, considere implementar mecanismos adequados de proteção contra CSRF, como validação baseada em token, para impedir a exploração. Como solução temporária, restrinja o acesso ao endpoint “/index.php” para minimizar o risco de exploração. Evite usar o parâmetro
busca no formulário afetado até que o problema seja resolvido.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ismartgate Pro