PT-2020-7218 · Longtail Video · Jw Player
Mustlive
·
Publicado
2020-02-20
·
Atualizado
2020-02-24
·
CVE-2012-3351
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do LongTail Video JW Player até a 5.10.2295
Descrição
A vulnerabilidade permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio dos parâmetros
link, logo.link ou aboutlink, ou de um nome de esquema URI aninhado para javascript, asfunction ou vbscript. Isso permite que invasores executem scripts maliciosos no lado do cliente.Recomendações
Para versões até 5.10.2295, considere desativar os parâmetros
link, logo.link e aboutlink para impedir a exploração até que uma correção esteja disponível. Restrinja o uso de nomes de esquemas URI aninhados para javascript, asfunction ou vbscript no JW Player para minimizar o risco de ataques de cross-site scripting.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jw Player