PT-2020-17868 · Hcl · Hcl Connections
Publicado
2020-03-05
·
Atualizado
2020-03-06
·
CVE-2020-4082
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
HCL Connections versão 5.5
Descrição
O problema é causado pela validação inadequada de entradas fornecidas pelo usuário, levando a cross-site scripting. Um invasor remoto poderia explorar essa vulnerabilidade usando uma URL especialmente criada para executar um script no navegador da vítima dentro do contexto de segurança do site de hospedagem. Isso poderia ser usado para roubar as credenciais de autenticação baseadas em cookies da vítima.
Recomendações
Para o HCL Connections versão 5.5, considere desativar temporariamente o sistema de ajuda até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao sistema de ajuda para minimizar o risco de ataques de cross-site scripting. Evite usar entradas fornecidas pelo usuário em URLs até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hcl Connections