PT-2021-17104 · Redwood · Redwood Report2Web
Publicado
2021-02-05
·
Atualizado
2022-02-04
·
CVE-2021-26710
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Redwood Report2Web versões 4.3.4.5 e 4.5.3
Descrição
Uma vulnerabilidade de script entre sites (XSS) no painel de login permite que invasores remotos injetem JavaScript por meio do endpoint da API “signIn.do”, especificamente através do parâmetro
urll. Isso permite que invasores executem scripts maliciosos no lado do cliente.Recomendações
Para o Redwood Report2Web versão 4.3.4.5, considere desativar o endpoint da API
signIn.do até que uma correção esteja disponível.Para o Redwood Report2Web versão 4.5.3, restrinja o acesso ao parâmetro
urll no endpoint da API signIn.do para minimizar o risco de exploração.Como solução alternativa temporária, evite usar o parâmetro
urll no endpoint da API signIn.do até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redwood Report2Web