PT-2020-20428 · Gluu · Gluu Identity Configuration
Publicado
2020-02-16
·
Atualizado
2020-02-18
·
CVE-2020-9012
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Gluu Identity Configuration versão 4.0
Descrição
Existe uma vulnerabilidade de script entre sites (XSS) na funcionalidade “Importar Pessoas”, permitindo que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro
filename.Recomendações
Para a Gluu Identity Configuration versão 4.0, considere restringir o acesso à funcionalidade Importar Pessoas até que uma correção esteja disponível e evite usar o parâmetro
filename neste contexto para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gluu Identity Configuration