CVE-2020-7050

Codologic Codoforum versões 4.8.4 e anteriores

A vulnerabilidade permite um ataque XSS baseado em DOM. Ao criar um novo tópico, um usuário pode adicionar uma enquete que é carregada automaticamente no DOM quando o tópico é aberto. Como os cookies de sessão não possuem o sinalizador HttpOnly, um invasor pode roubar cookies de autenticação, o que pode levar à apropriação de contas.

Para as versões 4.8.4 e anteriores do Codologic Codoforum, como solução temporária, considere desativar o recurso de enquete até que um patch esteja disponível. Restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. Evite usar cookies de sessão sem o sinalizador HttpOnly até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.