PT-2020-18373 · Viewvc+1 · Viewvc+1

Cmpilatopublished

·

Publicado

2020-04-03

·

Atualizado

2024-06-15

·

CVE-2020-5283

CVSS v3.1

3.5

Baixa

VetorAV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do ViewVC anteriores à 1.1.28
Versões do ViewVC anteriores à 1.2.1
Descrição
O problema está relacionado a uma vulnerabilidade XSS no suporte ao CVS show subdir lastmod. O impacto dessa vulnerabilidade é mitigado pela necessidade de um invasor ter privilégios de commit em um repositório CVS exposto por uma instância do ViewVC, que de outra forma seria confiável, mas que também tenha o recurso show subdir lastmod habilitado. O vetor de ataque envolve arquivos com nomes inseguros, que por si só podem ser difíceis de criar.
Recomendações
Para versões anteriores à 1.1.28, atualize para a versão 1.1.28 para resolver o problema.
Para versões anteriores à 1.2.1, atualize para a versão 1.2.1 para resolver o problema.
Como solução alternativa temporária, considere desativar o recurso show subdir lastmod até que um patch esteja disponível.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

CVE-2020-5283
GHSA-XPXF-FVQV-7MFG
MGASA-2020-0221
OPENSUSE-SU-2021:0084-1
OPENSUSE-SU-2021:0119-1
OPENSUSE-SU-2021:0123-1
OPENSUSE-SU-2021:0145-1
OPENSUSE-SU-2021_0084-1
OPENSUSE-SU-2021_0123-1
OPENSUSE-SU-2024:12857-1

Produtos afetados

Suse
Viewvc