PT-2021-16883 · Opencrx · Opencrx
Publicado
2021-09-29
·
Atualizado
2021-10-07
·
CVE-2021-25959
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenCRX de v4.0.0 a v5.1.0
Descrição
O problema está relacionado a um ataque de Cross-site Scripting (XSS) refletido, causado por parâmetros não sanitizados na funcionalidade de redefinição de senha, permitindo a execução de arquivos JavaScript externos em qualquer usuário da instância do OpenCRX.
Recomendações
Para as versões do OpenCRX v4.0.0 a v5.1.0, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível para impedir a exploração do problema de Cross-site Scripting (XSS) refletido. Restrinja o acesso ao módulo de redefinição de senha para minimizar o risco de execução de arquivos JavaScript externos. Evite usar parâmetros não sanitizados na funcionalidade de redefinição de senha para impedir ataques XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opencrx