PT-2020-20666 · Gwtupload · Gwtupload
Uzakovo
·
Publicado
2020-02-28
·
Atualizado
2021-12-21
·
CVE-2020-9447
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
GwtUpload versão 1.0.3
Descrição
O problema diz respeito a uma vulnerabilidade de script entre sites (XSS) na funcionalidade de envio de arquivos. Essa vulnerabilidade permite que um invasor envie um arquivo com um nome malicioso contendo código JavaScript, resultando em XSS. O cross-site scripting permite que invasores roubem dados, alterem a aparência de um site e realizem outras atividades maliciosas.
Recomendações
Para o GwtUpload versão 1.0.3, considere validar e sanitizar nomes de arquivos antes de processá-los para impedir a execução de código JavaScript malicioso. Como solução temporária, restrinja o recurso de upload de arquivos até que uma correção adequada seja implementada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gwtupload