PT-2022-15251 · Teedy · Teedy
Publicado
2022-01-10
·
Atualizado
2022-01-21
·
CVE-2022-22114
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Teedy da v1.5 à v1.9
Descrição
O problema diz respeito a Cross-Site Scripting (XSS) refletido na funcionalidade de pesquisa por “termo de pesquisa”, que não é suficientemente sanitizada, permitindo a injeção de scripts arbitrários. Esses scripts são executados no navegador da vítima quando ela acessa uma URL maliciosa. Em casos graves, a vítima pode ser um administrador com privilégios elevados, e os scripts injetados podem extrair o ID da sessão, levando à apropriação total da conta por um invasor não autenticado.
Recomendações
Para as versões v1.5 a v1.9, considere desativar temporariamente a funcionalidade de pesquisa até que um patch esteja disponível para impedir a injeção de scripts arbitrários. Restrinja o acesso à página de resultados de pesquisa para minimizar o risco de exploração. Evite usar a funcionalidade
search term nas versões afetadas até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Teedy