PT-2021-12713 · Mendix · Mendixsso
Publicado
2021-01-06
·
Atualizado
2021-01-12
·
CVE-2020-8160
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
MendixSSO versões 2.1.1 e anteriores
Descrição:
O problema é causado pela reflexão de dados fornecidos pelo usuário sem o escape HTML adequado ou codificação de saída no manipulador openid, levando a uma vulnerabilidade de Cross-Site Scripting (XSS) por meio do caminho da URL. Isso permite que uma carga de JavaScript seja injetada no endpoint, fazendo com que seja executada no contexto do navegador da vítima.
Recomendações:
Para as versões 2.1.1 e anteriores do MendixSSO, atualize para uma versão posterior à 2.1.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos endpoints do manipulador openid para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mendixsso