PT-2021-17665 · Mautic · Mautic
Matisact
+2
·
Publicado
2021-08-30
·
Atualizado
2021-09-10
·
CVE-2021-27911
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Mautic anteriores à 3.3.4/4.0.0
Descrição:
O problema está relacionado a um ataque XSS em JS embutido que pode ser acionado por meio do nome ou sobrenome de um contato ao visualizar a página de detalhes do contato, clicar no menu suspenso de ações e passar o mouse sobre o botão Campanhas. O nome e o sobrenome do contato podem ser preenchidos a partir de várias fontes, incluindo interface do usuário, API, sincronização de terceiros, formulários, etc.
Recomendações:
Atualize para a versão 3.3.4 ou 4.0.0 para resolver o problema. Como solução temporária, considere restringir a entrada do nome e sobrenome do contato para minimizar o risco de exploração. Evite usar entradas potencialmente maliciosas de diferentes fontes, como interface do usuário (UI), API, sincronização de terceiros, formulários, etc., até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mautic