PT-2020-15945 · Silverstripe · Silverstripe-Advancedreports
Ahpaleus
·
Publicado
2020-09-03
·
Atualizado
2022-05-24
·
CVE-2020-25102
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
silverstripe-advancedreports, versões 1.0 a 2.0
Descrição
A vulnerabilidade permite a execução de scripts entre sites (XSS) devido à possibilidade de injetar e armazenar código JavaScript malicioso. Isso afeta a “visualização do relatório” quando um documento SVG é fornecido no parâmetro
Description, especificamente no endpoint “admin/advanced-reports/DataObjectReport/EditForm/field/DataObjectReport/item”.Recomendações
Para as versões 1.0 a 2.0, considere desativar o recurso de visualização de relatório no endpoint admin/advanced-reports/DataObjectReport/EditForm/field/DataObjectReport/item até que uma correção esteja disponível. Restrinja o acesso ao parâmetro
Description para minimizar o risco de exploração. Evite usar o parâmetro Description no endpoint afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe-Advancedreports