CVE-2020-13407

Versões do Tufin SecureTrack anteriores à R20-2 GA

O problema diz respeito a XSS refletido e armazenado, em que o valor não é apenas refletido de volta ao usuário, mas também armazenado no banco de dados. Essa carga útil armazenada pode ser acionada novamente pela mesma vítima ou por outros usuários posteriormente. Tanto as cargas úteis armazenadas quanto as refletidas podem ser acionadas por um administrador, permitindo que um usuário mal-intencionado não autenticado obtenha potencialmente acesso de nível administrativo. Além disso, um usuário mal-intencionado com privilégios limitados pode injetar XSS, que pode ser executado por um administrador, elevando potencialmente os privilégios e obtendo acesso administrativo.

Para versões anteriores à R20-2 GA, atualize para a R20-2 GA ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas onde o XSS possa ser injetado para minimizar o risco de exploração. Evite usar o aplicativo com privilégios de administrador até que o problema seja resolvido.