PT-2021-9672 · Outsystems · Outsystems
Fábio Gomes
·
Publicado
2021-08-31
·
Atualizado
2021-09-08
·
CVE-2020-13639
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OutSystems anteriores à 10.0.1005.2
Versões do OutSystems anteriores à 11.7.0 do LifeTime Management Console
Versões do OutSystems anteriores à 11.9.0 do Platform Server
Descrição
Foi detectada uma vulnerabilidade de XSS armazenado no ECT Provider, afetando as aplicações geradas. Isso permite que um invasor remoto não autenticado crie e armazene conteúdo malicioso de feedback em “/ECT Provider/”, de modo que, quando o conteúdo for visualizado por administradores, o JavaScript controlado pelo invasor será executado no contexto de segurança do navegador do administrador.
Recomendações
Para versões anteriores à 10.0.1005.2, atualize para a versão 10.0.1005.2 ou posterior.
Para versões anteriores ao LifeTime Management Console 11.7.0, atualize para a versão 11.7.0 do LifeTime Management Console ou posterior.
Para versões anteriores ao Platform Server 11.9.0, atualize para a versão 11.9.0 do Platform Server ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint “/ECT Provider/” para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Outsystems