PT-2022-13901 · Unknown · Facturascripts
Neorazorx
·
Publicado
2022-04-25
·
Atualizado
2022-05-04
·
CVE-2022-1457
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do facturascripts anteriores à 2022.04
Descrição
O problema diz respeito a um Store XSS no parâmetro
title, que é executado nas páginas EditUser e EditProducto. Isso pode levar a ataques de cross-site scripting, resultando potencialmente em consequências devastadoras, incluindo exfiltração de dados ou instalação de malware na máquina do usuário. Os invasores também podem se passar por usuários autorizados por meio de cookies de sessão, o que lhes permite realizar ações permitidas pela conta do usuário.Recomendações
Para versões anteriores à 2022.04, atualize para uma versão lançada após a 2022.04 para resolver o problema. Como solução temporária, considere restringir o acesso às páginas EditUser e EditProducto para minimizar o risco de exploração. Evite usar o parâmetro
title nessas páginas até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Facturascripts