CVE-2020-13409

Versões do Tufin SecureTrack anteriores à R20-2 GA

O problema diz respeito a Cross-Site Scripting (XSS) refletido e armazenado no Tufin SecureTrack. Isso permite que um usuário mal-intencionado não autenticado obtenha potencialmente acesso de nível administrativo. Tanto cargas de trabalho armazenadas quanto refletidas podem ser acionadas por um administrador, e mesmo um usuário com privilégios limitados pode injetar XSS, que pode ser executado por um administrador, elevando potencialmente privilégios e obtendo acesso administrativo.

Para versões anteriores à R20-2 GA, atualize para a R20-2 GA ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas onde o XSS possa ser injetado para minimizar o risco de exploração. Evite usar o aplicativo com privilégios de administrador até que o problema seja resolvido.