PT-2020-15431 · Mediakind · Rx8200
Publicado
2020-09-14
·
Atualizado
2020-11-12
·
CVE-2020-22158
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
MediaKind (anteriormente Ericsson) RX8200 versão 5.13.3
Descrição
A vulnerabilidade permite ataques de Cross-Site Scripting (XSS) tanto refletidos quanto armazenados. Um invasor pode explorar o XSS refletido injetando código JavaScript nos parâmetros
path ou Services+ID e induzindo um usuário a acessar a URL manipulada. Para o XSS armazenado, um invasor deve modificar o parâmetro name com código malicioso para armazenar a exploração no servidor, o que pode então afetar outros usuários.Recomendações
Para o MediaKind (anteriormente Ericsson) RX8200 versão 5.13.3, como solução alternativa temporária, considere restringir o acesso aos parâmetros
path e Services+ID no endpoint da API afetado e evite usar o parâmetro name até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rx8200