PT-2021-19946 · Monkshu · Monkshu
Publicado
2021-08-02
·
Atualizado
2021-08-12
·
CVE-2021-32812
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Monkshu versões 2.90 e anteriores
Descrição
O Monkshu é um servidor de aplicativos corporativo para aplicativos móveis, aplicativos HTML5 responsivos e serviços de API JSON. No servidor HTTP front-end, existe uma vulnerabilidade de cross-site scripting refletido. Um invasor pode enviar uma URL cuidadosamente criada juntamente com um bug conhecido no servidor, causando um erro 500, e a resposta incorporará a URL fornecida pelo hacker. O impacto é moderado, pois o hacker também precisa ser capaz de criar uma solicitação HTTP que cause um erro 500 no servidor. Não se conhecem tais solicitações até o momento.
Recomendações
Para as versões 2.90 e anteriores, atualize para a versão 2.95 para resolver o problema.
Como solução alternativa temporária, considere usar um plugin de cache em disco para mitigar o risco.
Correção
XSS
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Monkshu