PT-2021-10081 · Pki-Core+3 · Pki-Core+3

Pedro Sampaio

·

Publicado

2020-11-03

·

Atualizado

2021-05-10

·

CVE-2020-1721

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
pki-core versão 10.10.5
Descrição:
Foi identificada uma falha no serviço do agente da Autoridade de Recuperação de Chaves (KRA), que não sanitizava adequadamente o ID de recuperação durante uma solicitação de recuperação de chave. Isso possibilita uma vulnerabilidade de script entre sites refletido (XSS), permitindo que um invasor induza uma vítima autenticada a executar código JavaScript especialmente criado.
Recomendações:
Para a versão 10.10.5 do pki-core, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CESA-2020_4847
CESA-2021_0851
CVE-2020-1721
RHSA-2020:4847
RHSA-2020_4847
RHSA-2021:0819
RHSA-2021:0851
RHSA-2021:0975
RHSA-2021_0851
RLSA-2020:4847

Produtos afetados

Centos
Red Hat
Rocky Linux
Pki-Core