PT-2022-17698 · Cherwell · Cherwell Service Management
L00Neyhacker
·
Publicado
2022-02-28
·
Atualizado
2022-03-08
·
CVE-2022-26155
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Cherwell Service Management (CSM) versão 10.2.3
Descrição
Foi detectada uma falha na aplicação web do Cherwell Service Management, na qual pode ocorrer um ataque XSS por meio de uma carga maliciosa no parâmetro
SAMLResponse do corpo da solicitação HTTP.Recomendações
Para o Cherwell Service Management (CSM) versão 10.2.3, considere restringir o acesso ao parâmetro
SAMLResponse no corpo da solicitação HTTP até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro SAMLResponse no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cherwell Service Management