PT-2022-16946 · Unknown · Acs Commons
Publicado
2022-04-20
·
Atualizado
2022-04-22
·
CVE-2022-24874
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
ACS Commons versões 5.1.x e anteriores
Descrição
A vulnerabilidade está relacionada a uma falha de tipo Cross-site Scripting (XSS) refletido no endpoint “/apps/acs-commons/content/page-compare.html” por meio dos parâmetros GET
a e b. As entradas do usuário enviadas por meio desses parâmetros não são validadas nem sanitizadas, permitindo que um invasor injete conteúdo JavaScript malicioso em campos de formulário vulneráveis e o execute no contexto do navegador da vítima. A exploração desse problema requer interação do usuário.Recomendações
Para as versões 5.1.x e anteriores do ACS Commons, atualize para a versão 5.2.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint “/apps/acs-commons/content/page-compare.html” para minimizar o risco de exploração.
Evite usar os parâmetros
a e b no endpoint afetado até que a vulnerabilidade seja resolvida. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Acs Commons