PT-2020-13821 · Hesk · Hesk
Loca1Gh0S7
·
Publicado
2020-07-09
·
Atualizado
2020-07-10
·
CVE-2020-13992
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Mods para HESK, versões 3.1.0 a 2019.1.0
Descrição
A vulnerabilidade permite que invasores remotos não autenticados se apropriem da sessão de um usuário do helpdesk por meio de um ataque XSS armazenado. Isso pode ocorrer quando um usuário com privilégios suficientes para alterar a imagem da página de login abre um ticket malicioso.
Recomendações
Para as versões 3.1.0 a 2019.1.0, considere restringir o acesso à funcionalidade de alteração da imagem da página de login até que uma correção esteja disponível. Como solução alternativa temporária, evite abrir tickets criados especificamente para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hesk