PT-2020-16468 · Sage · Sage Dpw
Publicado
2020-10-16
·
Atualizado
2020-10-27
·
CVE-2020-26584
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Sage DPW anteriores à 2020 06 002
Descrição
Foi descoberta uma vulnerabilidade que permite um ataque XSS refletido no campo de pesquisa “Kurs suchen” na página Kurskatalog. Isso pode ser explorado se um invasor induzir um usuário a clicar em um link malicioso, permitindo a execução de código JavaScript arbitrário no navegador do usuário. A vulnerabilidade pode ser usada para alterar o conteúdo do site, redirecionar usuários para outros sites ou roubar credenciais de usuário. Os usuários também podem estar vulneráveis a explorações de navegador e malware JavaScript.
Recomendações
Para versões anteriores à 2020 06 002, atualize para a versão 2020 06 002 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à página Kurskatalog ou evitar o uso do campo de pesquisa “Kurs suchen” até que a vulnerabilidade seja resolvida.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sage Dpw