PT-2022-10043 · Unknown · Cyclos 4 Pro
Tf1T
+1
·
Publicado
2022-05-01
·
Atualizado
2022-07-22
·
CVE-2021-31673
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Cyclos 4 PRO versões 4.14.7 e anteriores
Descrição
Existe uma vulnerabilidade de tipo Cross-site scripting (XSS) baseada em DOM no registro de contas do Cyclos, permitindo que invasores remotos injetem scripts da Web ou HTML arbitrários por meio do parâmetro
groupId. Isso permite que invasores executem scripts maliciosos no lado do cliente.Recomendações
Para as versões 4.14.7 e anteriores do Cyclos 4 PRO, como solução temporária, considere restringir o acesso ao recurso de conta de registro até que uma correção esteja disponível. Evite usar o parâmetro
groupId no endpoint da conta de registro afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cyclos 4 Pro