PT-2021-7106 · Unknown · Ajax.Net Professional
Ashmind
+1
·
Publicado
2021-12-22
·
Atualizado
2022-08-09
·
CVE-2021-43853
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Ajax.NET Professional (AjaxPro) versões anteriores à 21.12.22.1
Descrição
O problema está relacionado à injeção de objetos JavaScript, o que pode resultar em cross-site scripting quando explorado por um usuário mal-intencionado. Isso ocorre devido à desserialização de dados não confiáveis, especificamente a possibilidade de desserialização de objetos JavaScript arbitrários. Ataques de Cross-Site Scripting (XSS) podem injetar scripts maliciosos em sites que, de outra forma, seriam benignos e confiáveis, e os efeitos variam de um incômodo menor a um risco de segurança significativo.
Recomendações
Para versões anteriores à 21.12.22.1, existe uma solução alternativa que substitui um dos arquivos JavaScript principais incorporados na biblioteca. Para aplicar essa solução alternativa, use uma configuração XML para substituir o código JavaScript padrão pela versão disponível no GitHub. Especificamente, adicione a seguinte configuração:
xml
<configuration>
<configSections>
<sectionGroup name="ajaxNet">
<section name="ajaxSettings" type="AjaxPro.AjaxSettingsSectionHandler,AjaxPro.2" requirePermission="false" restartOnExternalChanges="true"/>
</sectionGroup>
</configSections>
<ajaxNet>
<ajaxSettings>
<coreScript>~/ajaxpro-core-fixed.js</coreScript>
</ajaxSettings>
</ajaxNet>
</configuration>
Em seguida, copie o arquivo core.js da pasta principal do projeto para a pasta raiz do servidor web e renomeie-o para ajaxpro-core-fixed.js. Os clientes precisarão re
Correção
XSS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ajax.Net Professional