PT-2021-11811 · Pi-Hole · Pi-Hole
N4Nj0
·
Publicado
2021-02-18
·
Atualizado
2021-02-24
·
CVE-2020-35592
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Pi-hole, versões 5.0 a 5.1.1
Descrição:
A vulnerabilidade permite que um usuário remoto injete scripts da Web ou HTML arbitrários devido à sanitização incorreta dos dados fornecidos pelo usuário, realizando um ataque de Cross-Site Scripting refletido contra outros usuários e potencialmente roubando o cookie de sessão. Isso é feito por meio do cabeçalho Options na URI “admin/”.
Recomendações:
Para as versões 5.0 a 5.1.1, considere desativar o acesso ao URI “admin/” até que um patch esteja disponível para impedir a exploração. Restrinja o uso do cabeçalho Options no URI admin/ para minimizar o risco de ataques de Cross-Site Scripting refletido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pi-Hole