PT-2020-7129 · Mahara+2 · Mahara+2
Wan Ikram
·
Publicado
2020-02-08
·
Atualizado
2020-02-12
·
CVE-2011-3642
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Flowplayer Flash 3.2.7 a 3.2.16
Descrição
A vulnerabilidade permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio da
diretiva de configuração do plugin em uma referência a um plugin de domínio externo, o que pode levar a cross-site scripting (XSS). Isso afeta a extensão do sistema de notícias (news) para TYPO3 e Mahara.Recomendações
Para as versões 3.2.7 a 3.2.16 do Flowplayer Flash, considere desativar a diretiva de configuração do plugin em referências a plugins de domínios externos até que um patch esteja disponível. Restrinja o acesso à configuração do plugin para minimizar o risco de exploração. Evite usar a diretiva de configuração do plugin com plugins de domínios externos nas versões afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flowplayer Flash
Mahara
Typo3