PT-2022-14575 · Unknown · Scorm Engine
Evan Grant
·
Publicado
2022-06-09
·
Atualizado
2022-06-15
·
CVE-2022-2035
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do SCORM Engine anteriores à 20.1.45.914
Versões do SCORM Engine 21.1.x anteriores à 21.1.7.219
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) refletido devido à falta de restrições no domínio ou no formato da URL fornecida pelo usuário no parâmetro
playerConfUrl no arquivo /defaultui/player/modern.html. Isso permite que um invasor crie URLs maliciosas capazes de acionar uma carga de XSS refletido no contexto do navegador da vítima.Recomendações
Para versões do SCORM Engine anteriores à 20.1.45.914, atualize para a versão 20.1.45.914 ou posterior.
Para versões do SCORM Engine 21.1.x anteriores à 21.1.7.219, atualize para a versão 21.1.7.219 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro
playerConfUrl no arquivo /defaultui/player/modern.html para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Scorm Engine