PT-2022-21448 · Unknown · Lansweeper
Icewall
+1
·
Publicado
2022-12-15
·
Atualizado
2022-12-19
·
CVE-2022-32763
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Lansweeper versão 10.1.1.0
Descrição
Existe uma falha de segurança na funcionalidade SanitizeHtml que permite contornar a sanitização de scripts entre sites (XSS). Isso permite que um invasor envie uma solicitação HTTP especialmente criada, levando à injeção de código JavaScript arbitrário.
Recomendações
Para a versão 10.1.1.0 do Lansweeper, considere desativar a funcionalidade SanitizeHtml até que um patch esteja disponível para impedir a injeção arbitrária de código JavaScript. Restrinja o acesso à funcionalidade SanitizeHtml para minimizar o risco de exploração. Evite usar a funcionalidade SanitizeHtml em solicitações HTTP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lansweeper