PT-2022-20311 · Parallels · Parallels H-Sphere
Publicado
2022-05-16
·
Atualizado
2022-05-25
·
CVE-2022-30777
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Parallels H-Sphere, versões 3.6.2 a 3.6.1713
Descrição
A vulnerabilidade permite ataques de cross-site scripting (XSS) por meio do arquivo
index en.php, especificamente através de um parâmetro. Esse tipo de ataque pode permitir que scripts maliciosos sejam injetados em sites que, de outra forma, seriam confiáveis, levando potencialmente ao acesso não autorizado ou ao controle das sessões dos usuários.Recomendações
Para as versões 3.6.2 a 3.6.1713 do Parallels H-Sphere, como solução temporária, considere restringir o acesso ao arquivo
index en.php até que um patch esteja disponível. Evite usar o parâmetro vulnerável no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parallels H-Sphere