CVE-2020-14024

Versões do Ozeki NG SMS Gateway anteriores à 4.17.7

O problema afeta o Ozeki NG SMS Gateway, no qual foram identificadas várias vulnerabilidades de XSS armazenado e/ou refletido autenticado. Essas vulnerabilidades podem ser exploradas por meio de vários campos e parâmetros, incluindo o campo Receiver ou Recipient no recurso Mailbox, o campo OZFORM GROUPNAME na configuração de endereços do Grupo, o campo listname na configuração Definindo listas de endereços ou qualquer parâmetro GET na URL “/default” do aplicativo.

Para versões do Ozeki NG SMS Gateway anteriores à 4.17.7, atualize para a versão 4.17.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso Mailbox, à configuração de endereços em grupo e à configuração de definição de listas de endereços para minimizar o risco de exploração. Evite usar os campos Receiver ou Recipient, o campo OZFORM GROUPNAME e o campo listname nas configurações afetadas até que o problema seja resolvido. Além disso, restrinja o acesso à URL “/default” do aplicativo para impedir a exploração por meio de parâmetros GET.