PT-2021-16856 · Sickrage · Sickrage

Publicado

2021-04-12

·

Atualizado

2024-02-09

·

CVE-2021-25926

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
SiCKRAGE, versões 9.3.54.dev1 a 10.0.11.dev1
Descrição
O problema decorre da validação inadequada das entradas do usuário no recurso quicksearch, levando a um ataque de Cross-Site-Scripting (XSS) refletido. Isso permite que um invasor roube o ID de sessão do usuário, possibilitando que ele se faça passar pelo usuário vítima e execute ações no contexto do usuário.
Recomendações
Para as versões do SiCKRAGE 9.3.54.dev1 a 10.0.11.dev1, considere desativar o recurso quicksearch até que uma correção esteja disponível para impedir a exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2021-25926
GHSA-X823-J7C4-VPC5
PYSEC-2021-148

Produtos afetados

Sickrage