PT-2020-20173 · Kronos · Kronos Web Time/Attendance
Elwood Buck
+1
·
Publicado
2020-01-30
·
Atualizado
2020-02-05
·
CVE-2020-8493
CVSS v3.1
6.9
Média
| Vetor | AC:L/AV:N/A:N/C:L/I:H/PR:H/S:C/UI:R |
Nome do software vulnerável e versões afetadas
Kronos Web Time and Attendance (webTA), versões 3.8.x a 3.x anteriores à 4.0
Descrição
Uma vulnerabilidade XSS armazenada afeta o software por meio de vários campos de entrada, incluindo
Login Message, Banner Message e Password Instructions, do servlet com.threeis.webta.H261configMenu. Isso pode ser explorado por um administrador autenticado.Recomendações
Para as versões 3.8.x a 3.x anteriores à 4.0, atualize para a versão 4.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao servlet
com.threeis.webta.H261configMenu para administradores autenticados até que um patch esteja disponível. Evite usar os campos de entrada vulneráveis (Login Message, Banner Message e Password Instructions) no servlet afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kronos Web Time/Attendance