PT-2022-17772 · Unknown · Online Project Time Management System
Publicado
2022-03-16
·
Atualizado
2022-03-28
·
CVE-2022-26295
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Sistema de Gerenciamento de Tempo de Projetos Online, versão 1.0
Descrição
Uma vulnerabilidade de script entre sites (XSS) armazenada permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo
user name no endpoint da API “/ptms/?page=user”.Recomendações
Para o Sistema de Gerenciamento de Tempo de Projetos Online versão 1.0, considere desativar o campo
user name no endpoint “/ptms/?page=user” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a este endpoint para minimizar o risco de execução de scripts web arbitrários. Evite usar o campo user name no endpoint da API afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Online Project Time Management System