PT-2020-6385 · Phplist · Phplist
Geek-Repo
·
Publicado
2020-05-18
·
Atualizado
2024-03-06
·
CVE-2020-22251
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
phplist versão 3.5.3
Descrição
O problema está relacionado à falta de proteção na estrutura da página da web, permitindo que um invasor remoto execute ataques de script entre sites (XSS). Isso pode ser feito criando-se um novo nome de usuário no campo
login name, na seção Gerenciar Administradores. O número estimado de dispositivos potencialmente afetados não foi divulgado.Recomendações
Para a versão 3.5.3 do phplist, considere desativar a capacidade de adicionar novos administradores ou restringir o acesso à seção Gerenciar Administradores até que uma correção esteja disponível. Evite usar o campo
login name na seção afetada para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phplist