PT-2022-16806 · Dsk · Dsknet
Publicado
2022-07-18
·
Atualizado
2022-07-27
·
CVE-2022-24692
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
DSK DSKNet, versões 2.16.136.0 a 2.17.136.5
Descrição
Foi descoberta uma vulnerabilidade na nova opção de menu na página geral de Parâmetros, que está sujeita a XSS armazenado. O invasor pode criar uma opção de menu, torná-la visível para todos os usuários do aplicativo e realizar sequestro de sessão, apropriação de conta ou entrega de código malicioso, com o objetivo final de executar código no lado do cliente.
Recomendações
Para as versões 2.16.136.0 a 2.17.136.5, considere desativar a nova opção de menu na página geral de Parâmetros até que um patch esteja disponível para prevenir ataques de XSS armazenado. Restrinja o acesso à página de Parâmetros para minimizar o risco de exploração. Evite usar a opção de menu vulnerável no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dsknet