PT-2021-17105 · Redwood · Redwood Report2Web
Publicado
2021-02-05
·
Atualizado
2022-02-04
·
CVE-2021-26711
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Redwood Report2Web, versões 4.3.4.5 a 4.5.3
Descrição
Uma vulnerabilidade de injeção de frame na ajuda online do Redwood Report2Web permite que invasores remotos exibam um recurso externo dentro de um frame por meio do parâmetro
turl “help/Online Help/NetHelp/default.htm”.Recomendações
Para as versões 4.3.4.5 a 4.5.3, considere desativar o acesso ao endpoint “help/Online Help/NetHelp/default.htm” até que uma correção esteja disponível.
Restrinja o uso do parâmetro
turl no endpoint da API afetado para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redwood Report2Web