PT-2020-6387 · Unknown · Php-Fusion
Songohan22
·
Publicado
2020-05-15
·
Atualizado
2021-07-06
·
CVE-2020-23184
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
PHP-Fusion versão 9.03.60
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no arquivo
/administration/settings registration.php, permitindo que invasores autenticados executem scripts web ou HTML arbitrários por meio de uma carga maliciosa inserida no campo Registration. Isso pode ser explorado por um invasor remoto para executar código arbitrário usando uma carga maliciosa especialmente criada.Recomendações
Para a versão 9.03.60 do PHP-Fusion, como solução temporária, considere desativar o acesso ao arquivo
/administration/settings registration.php até que um patch esteja disponível. Restrinja o acesso ao campo Registration no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php-Fusion