PT-2021-22443 · Unknown · Globalnewfiles
Majavah
·
Publicado
2021-09-01
·
Atualizado
2021-09-10
·
CVE-2021-39186
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do GlobalNewFiles anteriores ao commit cee254e1b158cdb0ddbea716b1d3edc31fa4fb5d
Descrição
A página especial GlobalNewFiles está vulnerável a um XSS armazenado devido à falta de validação adequada de entradas na coluna de nome de usuário. Essa vulnerabilidade pode ser explorada pela inserção de código HTML ou JavaScript malicioso nos nomes de conta. Como solução alternativa, proibir o uso de certos caracteres, como
< e >, nos nomes de conta pode impedir o XSS.Recomendações
Para versões anteriores ao commit cee254e1b158cdb0ddbea716b1d3edc31fa4fb5d, atualize para uma versão que inclua o patch do commit cee254e1b158cdb0ddbea716b1d3edc31fa4fb5d para resolver o problema.
Como solução alternativa temporária, considere proibir o uso de
<, > (ou outros caracteres necessários para inserir html/js) em nomes de contas para evitar o XSS.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Globalnewfiles