PT-2020-17395 · Daybyday · Daybyday
Publicado
2020-12-25
·
Atualizado
2020-12-28
·
CVE-2020-35706
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Daybyday versão 2.1.0
Descrição
A vulnerabilidade permite um ataque XSS armazenado por meio do parâmetro
Title na tela “Novo Projeto”. Isso significa que um invasor pode injetar scripts maliciosos no título de um projeto, os quais podem ser executados quando outros usuários visualizarem o projeto.Recomendações
Para a versão 2.1.0 do Daybyday, evite usar o parâmetro
Title na tela Novo Projeto até que o problema seja resolvido. Como solução alternativa temporária, considere validar e sanitizar todas as entradas do usuário para o parâmetro Title a fim de prevenir ataques XSS.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Daybyday