PT-2022-15259 · Halo · Halo
Ruibaby
·
Publicado
2022-01-13
·
Atualizado
2022-01-14
·
CVE-2022-22123
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Halo de v1.0.0 a v1.4.17
Descrição
A vulnerabilidade diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado no campo do título do artigo, permitindo que um invasor autenticado injete código JavaScript arbitrário que será executado no servidor da vítima.
Recomendações
Para as versões v1.0.0 a v1.4.17, considere restringir o acesso ao recurso de título do artigo até que uma correção esteja disponível e evite usar o campo de título do artigo para quaisquer operações confidenciais. Como solução alternativa temporária, considere validar e sanitizar todas as entradas do usuário no título do artigo para impedir a injeção de código JavaScript malicioso.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Halo