PT-2022-11746 · Projeqtor · Projeqtor
Publicado
2022-02-11
·
Atualizado
2022-02-18
·
CVE-2021-42940
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Projeqtor versão 9.3.1
Descrição
Existe uma vulnerabilidade de Cross Site Scripting (XSS) que permite que um invasor envie um arquivo SVG contendo código JavaScript malicioso através do endpoint da API “/projeqtor/tool/saveAttachment.php”. Isso possibilita a execução de código malicioso.
Recomendações
Para a versão 9.3.1 do Projeqtor, considere desativar o endpoint “/projeqtor/tool/saveAttachment.php” até que uma correção esteja disponível para impedir o upload de arquivos SVG maliciosos. Restrinja o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projeqtor