PT-2022-23848 · Claroline · Claroline
Matthieu-Hackwitharts
·
Publicado
2022-08-25
·
Atualizado
2022-08-27
·
CVE-2022-37160
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 13.5.7 e anteriores do Claroline
Descrição
A vulnerabilidade permite que um invasor autenticado eleve seus privilégios por meio da criação arbitrária de um usuário com privilégios. Isso pode ser feito combinando uma vulnerabilidade XSS presente em vários formulários de upload com uma solicitação JavaScript à API. Especificamente, é possível acionar a criação de um usuário com direitos administrativos ao abrir um arquivo SVG como usuário administrador.
Recomendações
Para as versões 13.5.7 e anteriores do Claroline, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Claroline