PT-2021-16905 · Factor · Factor
Publicado
2021-11-16
·
Atualizado
2021-11-17
·
CVE-2021-25982
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin de fórum do Factor (App Framework & Headless CMS), versões 1.3.5 a 1.8.30
Descrição
A vulnerabilidade permite que um invasor não autenticado execute código JavaScript malicioso e roube cookies de sessão por meio de Cross-Site Scripting (XSS) refletido no parâmetro
search da URL.Recomendações
Para as versões 1.3.5 a 1.8.30, considere restringir o acesso ao parâmetro
search na URL para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro search até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Factor