PT-2021-16864 · Opennms · Opennms Horizon+1
Publicado
2021-05-25
·
Atualizado
2022-05-24
·
CVE-2021-25934
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenNMS Horizon: opennms-18.0.0-1 a opennms-27.1.0-1
Versões do OpenNMS Meridian: meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1
Versões do OpenNMS Meridian de meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.7-1
Descrição
O problema está relacionado a Stored Cross-Site Scripting. A função
createRequisitionedNode() não valida a entrada enviada ao parâmetro node-label, permitindo que um invasor injete scripts arbitrários que serão armazenados no banco de dados.Recomendações
Para as versões do OpenNMS Horizon opennms-18.0.0-1 a opennms-27.1.0-1, considere desativar a função
createRequisitionedNode() até que um patch esteja disponível.Para as versões do OpenNMS Meridian meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1, restrinja o acesso ao parâmetro
node-label para minimizar o risco de exploração.Para as versões do OpenNMS Meridian meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.7-1, evite usar o parâmetro
node-label no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opennms Horizon
Opennms Meridian