PT-2022-20129 · Unknown · Water-Billing-Management-System
Publicado
2022-05-24
·
Atualizado
2022-05-28
·
CVE-2022-30462
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Sistema de gestão de faturamento de água, versão 1.0
Descrição
O problema está relacionado a Cross Site Scripting (XSS), que pode ser explorado por meio do endpoint da API /wbms/classes/Users.php, especificamente quando a variável
firstname é usada com o parâmetro f=save. Isso permite que scripts maliciosos sejam injetados no sistema.Recomendações
Para o Water-billing-management-system versão 1.0, como solução temporária, considere restringir o acesso ao endpoint /wbms/classes/Users.php ou desativar a variável
firstname no contexto f=save até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Water-Billing-Management-System