PT-2022-15817 · Erpnext · Erpnext
Publicado
2022-06-22
·
Atualizado
2022-07-05
·
CVE-2022-23057
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do ERPNext v12.0.9 a v13.0.3
Descrição
O problema está relacionado a um ataque de Cross-Site-Scripting (XSS) armazenado, devido à validação inadequada das entradas do usuário. Isso permite que um invasor com poucos privilégios injete código arbitrário nos campos de entrada ao editar seu perfil.
Recomendações
Para as versões do ERPNext v12.0.9 a v13.0.3, considere validar adequadamente as entradas do usuário para impedir a injeção de código arbitrário. Como solução temporária, restrinja o acesso aos recursos de edição de perfil para usuários com privilégios limitados até que uma correção adequada seja aplicada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext