PT-2021-4033 · Tcexam · Tcexam
Derrie Sutton
·
Publicado
2021-07-21
·
Atualizado
2021-08-12
·
CVE-2021-20115
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TCExam anteriores à 14.8.4
Descrição
Existe uma vulnerabilidade de cross-site scripting refletido devido à validação inadequada dos caminhos fornecidos nos parâmetros
f, d e dir no arquivo tce filemanager.php. Isso pode causar um XSS refletido por meio da saída não sanitizada do caminho fornecido. Um invasor poderia criar um link malicioso que, se acionado por um administrador, poderia resultar no sequestro da sessão da vítima ou na execução de ações em seu nome.Recomendações
Para versões anteriores à 14.8.4, atualize para a versão 14.8.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo
tce filemanager.php para minimizar o risco de exploração. Evite usar os parâmetros f, d e dir no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tcexam