PT-2021-10324 · Jeesns · Jeesns
Code996
·
Publicado
2021-09-09
·
Atualizado
2021-09-13
·
CVE-2020-19284
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Jeesns versão 1.4.2
Descrição:
Uma vulnerabilidade de script entre sites (XSS) armazenada no componente /group/comment permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa no
campo de texto de comentários do grupo. Isso pode ser feito explorando o “campo de texto de comentários do grupo” no endpoint da API /group/comment.Recomendações:
Para o Jeesns versão 1.4.2, considere desativar o componente
/group/comment até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao campo de texto de comentários do grupo para minimizar o risco de execução de scripts web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jeesns