PT-2021-12848 · Squaredup · Squaredup
Giuseppe-Diego Gianni
·
Publicado
2021-02-03
·
Atualizado
2023-02-23
·
CVE-2020-9388
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do SquaredUp anteriores à 4.6.0
Descrição:
A vulnerabilidade permite um possível ataque CSRF, no qual um administrador poderia executar código arbitrário em um bloco do painel HTML por meio de uma página HTML especialmente criada ou ao enviar uma carga SVG maliciosa para o painel. Isso é possível devido à falta de proteção contra CSRF no SquaredUp antes da versão 4.6.0.
Recomendações:
Para versões anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos blocos do painel em HTML e desativar o upload de cargas SVG nos painéis até que um patch seja aplicado.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Squaredup