PT-2021-23572 · Unknown · Shinher Studyonline System
Allen.Liu
+1
·
Publicado
2021-10-15
·
Atualizado
2021-10-20
·
CVE-2021-42329
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Sistema ShinHer StudyOnline (versões afetadas não especificadas)
Descrição
O problema diz respeito à função
List Add do fórum de mensagens no Sistema ShinHer StudyOnline, que não filtra caracteres especiais no parâmetro title. Isso permite que invasores remotos injetem JavaScript e executem ataques XSS armazenados após fazerem login com os privilégios de um usuário.Recomendações
Para o ShinHer StudyOnline System, considere desativar a função
List Add até que uma correção esteja disponível para impedir a injeção de JavaScript e a execução de ataques XSS armazenados. Restrinja o acesso ao fórum para minimizar o risco de exploração. Evite usar o parâmetro title na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shinher Studyonline System