CVE-2020-25205

**Nome do software vulnerável e versões afetadas:

Versões de firmware Mimosa B5, B5c e C5x até a 2.8.0.2

Descrição:

O problema diz respeito a uma vulnerabilidade XSS armazenada na função set banner() do arquivo /var/www/core/controller/index.php, permitindo que um invasor não autenticado defina o conteúdo do arquivo /mnt/jffs2/banner.txt para conter JavaScript arbitrário. O conteúdo desse arquivo é usado como parte de uma mensagem de boas-vindas/banner apresentada a usuários não autenticados que visitam a página de login do console web.

Recomendações:

Para as versões de firmware Mimosa B5, B5c e C5x até a 2.8.0.2, considere desativar a função set banner() até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso ao arquivo /mnt/jffs2/banner.txt para minimizar o risco de execução de JavaScript arbitrário. Evite usar o endpoint /var/www/core/controller/index.php com acesso não autenticado até que o problema seja resolvido.