PT-2021-23027 · Spotweb · Spotweb

Seongil-Wio

·

Publicado

2021-10-01

·

Atualizado

2021-10-04

·

CVE-2021-40972

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões 1.5.1 e anteriores do spotweb
Descrição
O problema é uma vulnerabilidade de script entre sites (XSS) que permite que invasores remotos injetem scripts da web ou HTML arbitrários. Isso ocorre por meio do parâmetro mail no arquivo templates/installer/step-004.inc.php.
Recomendações
Para as versões 1.5.1 e anteriores do spotweb, como solução temporária, considere restringir o acesso ao parâmetro mail no modelo afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2021-40972

Produtos afetados

Spotweb