PT-2021-16862 · Opennms · Opennms Horizon+1
Publicado
2021-06-01
·
Atualizado
2021-06-11
·
CVE-2021-25932
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenNMS Horizon: opennms-1-0-stable a opennms-27.1.0-1
Versões do OpenNMS Meridian: meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1
Versões do OpenNMS Meridian de meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.6-1
Descrição
A vulnerabilidade diz respeito a Stored Cross-Site Scripting. A função
validateFormInput() realiza verificações de validação inadequadas na entrada enviada ao parâmetro userID, permitindo que um invasor injete um script arbitrário que será armazenado no banco de dados.Recomendações
Para as versões do OpenNMS Horizon opennms-1-0-stable a opennms-27.1.0-1, considere desativar a função
validateFormInput() até que um patch esteja disponível.Para as versões do OpenNMS Meridian meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1, restrinja o acesso ao parâmetro
userID para minimizar o risco de exploração.Para as versões do OpenNMS Meridian meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.6-1, evite usar o parâmetro
userID nos pontos de extremidade da API afetados até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opennms Horizon
Opennms Meridian