PT-2022-15818 · Erpnext · Erpnext
Publicado
2022-06-22
·
Atualizado
2022-07-05
·
CVE-2022-23058
CVSS v2.0
3.5
Baixa
| Vetor | AV:N/AC:M/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do ERPNext da v12.0.9 à v13.0.3
Descrição
A falha permite que usuários com privilégios limitados armazenem scripts maliciosos no campo
username em “minhas configurações”, o que pode levar ao controle total da conta. Trata-se de uma vulnerabilidade XSS armazenada.Recomendações
Para as versões do ERPNext v12.0.9 a v13.0.3, considere desativar a capacidade de editar o campo
username em “minhas configurações” até que um patch esteja disponível. Restrinja o acesso ao módulo “minhas configurações” para minimizar o risco de exploração. Evite usar o campo username nas configurações afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext