PT-2020-9916 · Apache · Apache Syncope Enduser Ui
Publicado
2020-05-04
·
Atualizado
2022-01-06
·
CVE-2019-17557
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Syncope EndUser UI anteriores à 2.0.15
Versões do Apache Syncope EndUser UI anteriores à 2.1.6
Descrição
A página de login do Apache Syncope EndUser UI reflete os parâmetros
successMessage, permitindo que um usuário execute código JavaScript a partir de uma string de consulta de URL. Esse problema afeta os usuários que acessam o EndUser UI.Recomendações
Para versões anteriores à 2.0.15, atualize para a versão 2.0.15 ou posterior para resolver o problema.
Para versões anteriores à 2.1.6, atualize para a versão 2.1.6 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à página de login da EndUser UI para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Syncope Enduser Ui