PT-2021-23005 · Unknown · Projectsend
Kietna-68
·
Publicado
2021-10-11
·
Atualizado
2021-10-18
·
CVE-2021-40888
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Projectsend versão r1295
Descrição
O problema é causado pela falta de sanitização ao exibir dados de saída na função
returnFilesIds(), permitindo que um usuário com privilégios limitados execute código de script por meio do arquivo process.php. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS).Recomendações
Para a versão r1295 do Projectsend, considere desativar a função
returnFilesIds() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo process.php para minimizar o risco de execução de código de script. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projectsend