PT-2021-4018 · Tcexam · Tcexam
Derrie Sutton
·
Publicado
2021-07-21
·
Atualizado
2021-08-12
·
CVE-2021-20116
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TCExam anteriores à 14.8.5
Descrição
Existe uma vulnerabilidade de cross-site scripting refletido devido à validação inadequada dos caminhos fornecidos nos parâmetros
f, d e dir no arquivo tce select mediafile.php. Isso pode causar um XSS refletido por meio da saída não sanitizada do caminho fornecido. Um invasor poderia criar um link malicioso que, se acionado por um administrador, poderia resultar em sequestro de sessão ou ações realizadas em nome da vítima.Recomendações
Para versões anteriores à 14.8.5, atualize para a versão 14.8.5 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao arquivo
tce select mediafile.php até que um patch esteja disponível.Evite usar os parâmetros
f, d e dir no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tcexam