PT-2020-6957 · Red Hat+4 · Resteasy+4

Publicado

2020-03-19

·

Atualizado

2025-08-07

·

CVE-2020-10688

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do RESTEasy anteriores à 3.11.1.Final
Versões do RESTEasy anteriores à 4.5.3.Final
Descrição
Foi encontrada uma falha de cross-site scripting (XSS) no RESTEasy, na qual a codificação de URL não era tratada adequadamente quando ocorria a exceção RESTEASY003870. Um invasor poderia usar essa falha para lançar um ataque XSS refletido. O problema está relacionado à falta de medidas de proteção para a estrutura da página da web, permitindo que um invasor remoto realize ataques XSS.
Recomendações
Para versões anteriores à 3.11.1.Final, atualize para a versão 3.11.1.Final ou posterior.
Para versões anteriores à 4.5.3.Final, atualize para a versão 4.5.3.Final ou posterior.
Como solução temporária, considere desativar o tratamento da exceção RESTEASY003870 até que um patch esteja disponível.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BDU:2024-01096
CVE-2020-10688
GHSA-29QJ-RVV6-QRMV
OESA-2021-1231
RHSA-2020:2511
RHSA-2020:2512
RHSA-2020:2513
USN-7351-1
USN-7630-1

Produtos afetados

Debian
Linuxmint
Resteasy
Red Os
Ubuntu