PT-2020-13112 · Php Fusion · Php-Fusion
Publicado
2020-04-28
·
Atualizado
2020-05-05
·
CVE-2020-12438
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
PHP-Fusion versão 9.03.50
Descrição
Existe uma falha de segurança na página banners.php devido à proteção inadequada contra certos tipos de ataques. A única medida de segurança implementada é a remoção das tags SCRIPT, que pode ser contornada usando manipuladores de eventos HTML para executar código JavaScript. Isso permite que um agente mal-intencionado explore a falha.
Recomendações
Para a versão 9.03.50 do PHP-Fusion, considere desativar o acesso à página banners.php até que uma correção adequada seja implementada para impedir a exploração dessa vulnerabilidade. Além disso, restringir o uso de manipuladores de eventos HTML nesse contexto pode servir como uma medida de mitigação temporária.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php-Fusion