PT-2021-19783 · Octoprint · Octoprint
Jakub Brzozowski
·
Publicado
2021-05-11
·
Atualizado
2022-05-24
·
CVE-2021-32561
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OctoPrint anteriores à 1.6.0
Descrição
A vulnerabilidade permite ataques XSS, pois as mensagens de erro da API incluem os valores dos parâmetros de entrada, como
username ou outros dados fornecidos pelo usuário. Isso pode levar à execução de scripts maliciosos no lado do cliente.Recomendações
Para versões anteriores à 1.6.0, atualize para a versão 1.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a pontos de extremidade da API que incluam parâmetros de entrada fornecidos pelo usuário nas mensagens de erro até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Octoprint