PT-2021-22929 · Unknown · Php-Fusion
Kietna
·
Publicado
2021-10-11
·
Atualizado
2021-10-15
·
CVE-2021-40541
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
PHPFusion versão 9.03.110
Descrição
O problema está relacionado a um ataque de script entre sites (XSS) no filtro de padrões preg de tags HTML sem “//” na função
descript(). Um usuário autenticado pode desencadear um ataque XSS acrescentando “//” ao final do texto.Recomendações
Para a versão 9.03.110 do PHPFusion, considere desativar a função
descript() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao filtro de tags HTML para minimizar o risco de ataques XSS. Evite acrescentar “//” ao final do texto na função afetada para impedir que o problema seja acionado.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php-Fusion