PT-2020-9126 · Unknown · Io.Ratpack:Ratpack-Core
Publicado
2020-01-27
·
Atualizado
2020-01-29
·
CVE-2019-10770
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
io.ratpack:ratpack-core, versões 0.9.10 a 1.7.5
Descrição
A vulnerabilidade afeta o manipulador de erros do modo de desenvolvimento quando uma mensagem de exceção contém dados não confiáveis, permitindo a execução de scripts entre sites (XSS). Isso pode ser explorado quando os usuários não desativam o modo de desenvolvimento no ambiente de produção. O manipulador de erros do modo de produção não está vulnerável.
Recomendações
Para as versões 0.9.10 a 1.7.5, atualize para a versão 1.7.6 para resolver o problema.
Como solução temporária, certifique-se de que o modo de desenvolvimento esteja desativado na produção.
Evite usar dados reais de clientes (ou seja, entradas de usuários não confiáveis) no desenvolvimento.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Io.Ratpack:Ratpack-Core