PT-2021-19959 · Mockserve · Mockserve
Publicado
2021-08-16
·
Atualizado
2022-07-02
·
CVE-2021-32827
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MockServer (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito ao MockServer, um software de código aberto utilizado para simular sistemas via HTTP ou HTTPS. Um invasor pode induzir uma vítima a visitar um site malicioso enquanto o MockServer está sendo executado localmente, permitindo que o invasor execute código arbitrário na máquina do MockServer. Isso é possível devido a uma configuração padrão de CORS excessivamente ampla, que permite que qualquer site envie solicitações entre sites. Além disso, o uso de Javascript ou modelos Velocity pelo MockServer para expectativas dinâmicas pode permitir que um invasor execute código arbitrário em nome do MockServer. Combinando essas vulnerabilidades, um invasor poderia servir uma página maliciosa para comprometer um desenvolvedor que esteja executando o MockServer.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mockserve