PT-2022-11545 · Redcap · Redcap
Publicado
2022-04-13
·
Atualizado
2022-04-21
·
CVE-2021-42136
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do REDCap anteriores à 11.4.0
Descrição
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na funcionalidade Códigos de Dados Ausentes permite que invasores remotos executem código JavaScript no navegador do cliente, armazenando esse código como um valor de Código de Dados Ausentes. Isso pode então ser aproveitado para executar um ataque de Cross-Site Request Forgery (CSRF) para escalar privilégios até o nível de administrador.
Recomendações
Para versões anteriores à 11.4.0, atualize para a versão 11.4.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade Códigos de Dados Ausentes para minimizar o risco de exploração. Evite usar o valor do Código de Dados Ausentes para armazenar entradas de usuário não validadas até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redcap