PT-2022-12562 · Jfinalcms · Jfinalcms
Al1Exo
·
Publicado
2022-01-25
·
Atualizado
2022-01-28
·
CVE-2021-46087
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
jfinal cms versões 5.1.0 e posteriores
Descrição
O problema está relacionado a uma vulnerabilidade XSS de armazenamento no sistema de fundo do CMS. Isso ocorre porque os desenvolvedores não filtram os parâmetros enviados pelo formulário de entrada do usuário, permitindo que qualquer usuário com permissão de acesso ao sistema de fundo comprometa a segurança do sistema ao inserir código malicioso.
Recomendações
Para as versões 5.1.0 e posteriores do jfinal cms, considere filtrar os parâmetros enviados pelo formulário de entrada do usuário para impedir a inserção de código malicioso. Como solução temporária, restrinja a permissão de acesso ao back-end a usuários confiáveis até que uma correção adequada seja implementada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jfinalcms