CVE-2021-37365

Versões do CTparental anteriores à 4.45.03

O problema está relacionado a um ataque de script entre sites (XSS) no painel de administração do CTparental. Especificamente, no arquivo bl categires help.php, a variável categories recebe o conteúdo do parâmetro de string de consulta cat sem a devida sanitização ou codificação. Isso permite que um invasor injete código malicioso na página da web de saída. Há também uma menção a uma vulnerabilidade devido à restrição incorreta de um nome de caminho de diretório com acesso limitado, o que poderia permitir que um invasor injete código arbitrário.

Para versões do CTparental anteriores à 4.45.03, atualize para a versão 4.45.03 ou posterior para resolver o problema. Como solução temporária, considere desativar o acesso ao arquivo bl categires help.php ou restringir o uso da variável categories até que um patch seja aplicado. Além disso, evite usar o parâmetro cat na string de consulta afetada até que o problema seja resolvido.