PT-2021-19805 · Unknown · Smartstore
Thomas Chauchefoin
·
Publicado
2021-05-12
·
Atualizado
2022-11-09
·
CVE-2021-32608
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Smartstore (também conhecido como SmartStoreNET) até a versão 4.1.1
Descrição
Foi detectada uma falha em que o arquivo Views/Boards/Partials/ ForumPost.cshtml não chama
HtmlUtils.SanitizeHtml em determinados trechos de texto de uma publicação no fórum, o que pode causar problemas com texto não sanitizado.Recomendações
Para as versões do Smartstore (também conhecido como SmartStoreNET) até a 4.1.1, considere modificar o arquivo Views/Boards/Partials/ ForumPost.cshtml para chamar
HtmlUtils.SanitizeHtml no texto afetado, a fim de evitar possíveis problemas com entradas não sanitizadas.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Smartstore