PT-2022-17168 · Unknown+1 · Popcorn Time+1
Alestorm980
·
Publicado
2022-05-20
·
Atualizado
2022-05-31
·
CVE-2022-25229
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Popcorn Time versão 0.4.7
Descrição
O problema está relacionado a um XSS armazenado no campo “Movies API Server(s)” através da página “settings”. A configuração “nodeIntegration” está ativada, permitindo que a página da web utilize recursos do Node.js. Um invasor pode explorar essa vulnerabilidade para executar comandos do sistema operacional.
Recomendações
Para a versão 0.4.7 do Popcorn Time, considere desativar a configuração ‘nodeIntegration’ como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso ao campo ‘Movies API Server(s)’ na página de configurações até que uma correção esteja disponível. Evite usar a página ‘settings’ com a configuração ‘nodeIntegration’ ativada até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node.Js
Popcorn Time