PT-2021-9604 · Tufin · Tufin Securetrack
Publicado
2021-02-09
·
Atualizado
2021-03-08
·
CVE-2020-13408
CVSS v3.1
5.9
Média
| Vetor | AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Tufin SecureTrack anteriores à R20-2 GA
Descrição
A vulnerabilidade envolve XSS refletido e armazenado, em que um valor injetado é tanto refletido de volta ao usuário quanto armazenado no banco de dados. Esse valor armazenado pode ser acionado novamente pela mesma vítima ou por outros usuários posteriormente. Ambos os tipos de cargas podem ser acionados por um administrador, permitindo que um usuário mal-intencionado não autenticado obtenha potencialmente acesso de nível administrativo. Além disso, um usuário mal-intencionado com privilégios limitados pode injetar XSS, que pode ser executado por um administrador, levando potencialmente a privilégios elevados e acesso administrativo.
Recomendações
Para versões do Tufin SecureTrack anteriores à R20-2 GA, atualize para a versão R20-2 GA ou posterior para resolver o problema.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tufin Securetrack