CVE-2020-7575

Climatix POL908 (módulo BACnet/IP) (todas as versões)

Climatix POL909 (módulo AWM) versões anteriores à V11.32

Existe uma vulnerabilidade persistente de cross-site scripting (XSS) na página de log de acesso do servidor web, permitindo que um invasor injete código JavaScript arbitrário por meio de solicitações GET especialmente criadas para pontos de extremidade da API /, potencialmente explorando a variável user session. Isso poderia ser executado posteriormente por outro usuário com privilégios, comprometendo a confidencialidade e a integridade das sessões web de outros usuários. A vulnerabilidade pode ser explorada por um invasor com acesso à rede, sem a necessidade de privilégios de sistema.

Para o Climatix POL908 (módulo BACnet/IP), no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Para o Climatix POL909 (módulo AWM) em versões anteriores à V11.32, atualize para a versão V11.32 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de log de acesso do servidor web até que um patch esteja disponível.