PT-2021-22994 · Cloudron · Cloudron
Publicado
2021-09-21
·
Atualizado
2021-10-02
·
CVE-2021-40868
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Cloudron versão 6.2
Descrição
O problema diz respeito a uma vulnerabilidade de XSS refletido relacionada ao parâmetro
returnTo na página de login. Isso permite a injeção potencial de scripts maliciosos, que podem ser executados quando um usuário é redirecionado para a página com um valor malicioso no parâmetro returnTo.Recomendações
Para a versão 6.2 do Cloudron, como solução temporária, considere restringir o acesso à página de login ou validar e sanitizar o parâmetro
returnTo para impedir entradas maliciosas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cloudron