PT-2022-24877 · Unknown · Knowage Server
Jlleitschuh
+1
·
Publicado
2022-10-13
·
Atualizado
2022-10-17
·
CVE-2022-39295
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Knowage-Server, versões 6.x a 7.4.21
Versões do Knowage-Server de 8.0.0 a 8.0.8
A versão 8.1.0 do Knowage-Server não é afetada, mas as versões anteriores à 8.1.0 são; portanto, trata-se das versões do Knowage-Server de 6.x a 8.0.8
Descrição
O Knowage é um pacote de código aberto para análise de negócios moderna, uma alternativa aos sistemas de big data. O software está vulnerável a scripts entre sites (XSS) porque o método
XSSRequestWrapper::stripXSS pode ser contornado.Recomendações
Para as versões do Knowage-Server 6.x a 7.4.21, atualize para a versão 7.4.22 ou posterior.
Para as versões do Knowage-Server de 8.0.0 a 8.0.8, atualize para a versão 8.0.9 ou posterior.
Como solução temporária, considere desativar o método
XSSRequestWrapper::stripXSS até que um patch esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Knowage Server