PT-2021-10184 · Qdpm · Qdpm
Joelister
·
Publicado
2021-08-26
·
Atualizado
2021-08-27
·
CVE-2020-18468
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
qdPM versão 9.1
Descrição:
Existe uma vulnerabilidade de Cross Site Scripting (XSS) no campo “Heading” (Título), localizado na página de login, no menu “General” (Geral). Essa vulnerabilidade pode ser explorada por meio de um nome de site malicioso, realizando uma solicitação HTTP POST autenticada para “/qdPM 9.1/index.php/configuration”.
Recomendações:
Para o qdPM versão 9.1, como solução temporária, considere restringir o acesso ao campo “Heading” na página de login até que uma correção esteja disponível. Evite usar nomes de sites criados especificamente para esse fim no campo “Heading” para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qdpm