PT-2021-16865 · Opennms · Opennms Meridian+1
Publicado
2021-05-25
·
Atualizado
2021-06-03
·
CVE-2021-25935
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenNMS Horizon de opennms-17.0.0-1 a opennms-27.1.0-1
Versões do OpenNMS Meridian de meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1
Versões do OpenNMS Meridian de meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.7-1
Descrição
A vulnerabilidade está relacionada a Stored Cross-Site Scripting. A função
add() realiza verificações de validação inadequadas na entrada enviada ao parâmetro foreign-source, permitindo que um invasor contorne a validação por expressão regular existente e injete um script arbitrário que será armazenado no banco de dados.Recomendações
Para as versões do OpenNMS Horizon opennms-17.0.0-1 a opennms-27.1.0-1, considere desativar a função
add() até que um patch esteja disponível para impedir a exploração.Para as versões do OpenNMS Meridian meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1, restrinja o acesso ao parâmetro
foreign-source para minimizar o risco de injeção de script.Para as versões do OpenNMS Meridian meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.7-1, evite usar o parâmetro
foreign-source no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opennms Horizon
Opennms Meridian