PT-2021-21608 · Unknown · Laravel Booking System Booking Core
Publicado
2021-10-04
·
Atualizado
2021-10-12
·
CVE-2021-37330
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Laravel Booking System Booking Core versão 2.0
Descrição
A vulnerabilidade diz respeito a um problema de Cross Site Scripting (XSS). Especificamente, o recurso de upload de avatar na seção Meu Perfil pode ser explorado através do upload de um arquivo SVG malicioso que contenha JavaScript. Quando outro usuário ou administrador visualiza o perfil e clica para ver o avatar, o XSS é acionado.
Recomendações
Para o Laravel Booking System Booking Core versão 2.0, considere desativar o recurso de upload de avatar na seção “Meu Perfil” até que uma correção esteja disponível para impedir o upload de arquivos SVG maliciosos. Restrinja o acesso aos perfis de usuário para minimizar o risco de exploração. Evite permitir que os usuários enviem arquivos que possam conter código executável, como arquivos SVG com JavaScript incorporado, até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Laravel Booking System Booking Core