PT-2020-6332 · Unknown · Php-Fusion
Songohan22
·
Publicado
2020-05-14
·
Atualizado
2021-07-06
·
CVE-2020-23179
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
PHP-Fusion versão 9.03.50
Descrição
Uma vulnerabilidade de script entre sites (XSS) armazenada no arquivo administration/settings main.php permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no campo
Rodapé do site. Este problema está relacionado à falta de medidas de proteção na estrutura da página web, o que pode ser explorado por invasores remotos para realizar ataques de cross-site scripting.Recomendações
Para o PHP-Fusion versão 9.03.50, considere desativar a capacidade de editar o campo
Rodapé do site no arquivo administration/settings main.php até que um patch esteja disponível para impedir a exploração deste problema. Restrinja o acesso ao arquivo administration/settings main.php para minimizar o risco de execução arbitrária de scripts da web ou HTML. Evite usar o campo Rodapé do site no arquivo administration/settings main.php afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php-Fusion