PT-2022-26176 · Dhis2 · Dhis2
Philip-Larsen-Donnelly
·
Publicado
2022-12-08
·
Atualizado
2022-12-12
·
CVE-2022-41947
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do DHIS 2 anteriores à 2.36.12.1
Versões do DHIS 2 anteriores à 2.37.8.1
Versões do DHIS 2 anteriores à 2.38.2.1
Versões do DHIS 2 anteriores à 2.39.0.1
Descrição
O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. Por meio de vários recursos do DHIS 2, um usuário autenticado pode fazer upload de um arquivo que inclua javascript incorporado. O usuário poderia então, potencialmente, induzir outro usuário autenticado a abrir o arquivo malicioso em um navegador, o que acionaria o código javascript, resultando em um ataque de cross-site scripting (XSS).
Recomendações
Para versões anteriores à 2.36.12.1, atualize para a versão 2.36.12.1.
Para versões anteriores à 2.37.8.1, atualize para a versão 2.37.8.1.
Para versões anteriores à 2.38.2.1, atualize para a versão 2.38.2.1.
Para versões anteriores à 2.39.0.1, atualize para a versão 2.39.0.1.
Como solução temporária para usuários que não possam atualizar, adicione a seguinte regra CSP simples em seu proxy web para os endpoints vulneráveis:
script-src ‘none’. Isso impedirá que qualquer código JavaScript seja executado nesses endpoints.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dhis2