PT-2020-7182 · Plixer International · Scrutinizer Netflow & Sflow Analyzer
Tanya Secker
·
Publicado
2020-01-09
·
Atualizado
2020-01-22
·
CVE-2012-1260
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Plixer International Scrutinizer NetFlow & sFlow Analyzer, versões 8.6.2.16204 a 9.0.1.19899
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro
newUser no arquivo cgi-bin/userprefs.cgi. Isso pode não ser considerado uma vulnerabilidade se um administrador já tiver privilégios para criar scripts arbitrários.Recomendações
Para as versões 8.6.2.16204 a 9.0.1.19899, atualize para a versão 9.0.1.19899 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao arquivo cgi-bin/userprefs.cgi para minimizar o risco de exploração.
Evite usar o parâmetro
newUser no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Scrutinizer Netflow & Sflow Analyzer