PT-2021-4014 · Tcexam · Tcexam
Derrie Sutton
·
Publicado
2021-07-15
·
Atualizado
2021-08-02
·
CVE-2021-20111
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TCExam anteriores à 14.8.2
Descrição
Existe uma vulnerabilidade de cross-site scripting armazenada, permitindo que um invasor envie uma carga maliciosa de JavaScript via
tce filemanager.php com um nome de arquivo que comece com um ponto. Essa carga seria acionada quando outro usuário visualizasse o arquivo, podendo levar a ataques de cross-site scripting. A vulnerabilidade está relacionada à renderização incorreta de arquivos que começam com um ponto como text/html.Recomendações
Para versões do TCExam anteriores à 14.8.2, atualize para a versão 14.8.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao
tce filemanager.php para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tcexam