PT-2020-18296 · Cerberus · Cerberus Ftp Server
Publicado
2020-01-13
·
Atualizado
2020-01-22
·
CVE-2020-5195
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Cerberus FTP Server anteriores à 11.0.1
Versões do Cerberus FTP Server anteriores à 10.0.17
Descrição
A vulnerabilidade permite que um invasor remoto execute JavaScript ou HTML arbitrário por meio de uma URL de pasta pública maliciosa, explorando uma vulnerabilidade de XSS refletido através de um elemento IMG. Isso ocorre porque o elemento IMG
folder up.png não sanitiza adequadamente os caminhos de diretório inseridos pelo usuário. A modificação do caminho deve ser feita em uma pasta compartilhada publicamente para que um invasor remoto insira JavaScript ou HTML arbitrário. A vulnerabilidade afeta qualquer pessoa que clicar no link malicioso criado pelo invasor.Recomendações
Para versões anteriores à 11.0.1, atualize para a versão 11.0.1 ou posterior.
Para versões anteriores à 10.0.17, atualize para a versão 10.0.17 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cerberus Ftp Server