PT-2021-20123 · Jfinal · Jfinal

Ghost

·

Publicado

2021-06-24

·

Atualizado

2021-08-13

·

CVE-2021-33348

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões 4.9.10 e anteriores do framework JFinal
Descrição
Uma falha no framework JFinal permite vulnerabilidades XSS devido a filtragem insuficiente no método set da classe Controller.
Recomendações
Para as versões 4.9.10 e anteriores do framework JFinal, considere atualizar para uma versão superior à 4.9.10 para resolver o problema. Como solução temporária, restrinja o uso do método set na classe Controller para minimizar o risco de exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2021-33348
GHSA-2C25-XFPQ-8W9R

Produtos afetados

Jfinal