PT-2022-13555 · Showdoc · Showdoc
Publicado
2022-03-15
·
Atualizado
2022-03-22
·
CVE-2022-0956
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do ShowDoc anteriores à 2.10.4
Descrição
A vulnerabilidade está relacionada a um ataque de cross-site scripting (XSS) armazenado por meio do upload de arquivos. Isso permite que um invasor injeite scripts maliciosos em um site, os quais podem ser executados por outros usuários. Não há dados disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões anteriores à 2.10.4, atualize para a versão 2.10.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos no endpoint da API afetado até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Showdoc