PT-2021-5308 · Sourcecodester · Sourcecodester Online Event Booking/Reservation System
0Xdeku
+1
·
Publicado
2021-11-05
·
Atualizado
2022-07-12
·
CVE-2021-42663
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Sourcecodester Online Event Booking and Reservation System (versões afetadas não especificadas)
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais, permitindo que um invasor remoto a explore e, potencialmente, divulgue informações protegidas. Uma vulnerabilidade de injeção de HTML está presente no sistema por meio do parâmetro
msg em “/event-management/index.php”. Essa vulnerabilidade pode ser aproveitada por um invasor para alterar a visibilidade do site. Quando um usuário alvo clicar em um determinado link, será exibido o conteúdo do código HTML escolhido pelo invasor.Recomendações
Como solução temporária, considere restringir o acesso ao endpoint
/event-management/index.php até que uma correção esteja disponível.Evite usar o parâmetro
msg no endpoint da API afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sourcecodester Online Event Booking/Reservation System