PT-2022-22596 · Renato · Renato
J-Gainsec
·
Publicado
2022-08-04
·
Atualizado
2022-08-10
·
CVE-2022-35142
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Renato versão 0.17.0
Descrição
A vulnerabilidade permite que invasores provoquem uma negação de serviço (DoS) por meio de uma carga maliciosa injetada no parâmetro
Search. Além disso, o Renato utiliza requisitos fracos de complexidade de senha, permitindo que invasores quebrem senhas de usuários por meio de ataques de força bruta. Há também uma vulnerabilidade de script entre sites (XSS) presente na versão 0.17.0.Recomendações
Para a versão 0.17.0, atualize para a versão 0.17.1 para resolver os problemas de segurança, incluindo as vulnerabilidades de Negação de Serviço, complexidade fraca de senhas e cross-site scripting. Como solução temporária, considere restringir o acesso ao parâmetro
Search para minimizar o risco de exploração.Exploit
Correção
Improper Authentication
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Renato