PT-2022-3297 · Trueconf · Trueconf Server

Liquidworm

·

Publicado

2022-06-29

·

Atualizado

2023-04-20

·

CVE-2017-20115

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
TrueConf Server versão 4.3.7
Descrição
O problema está relacionado à falta de neutralização de tags HTML relacionadas a scripts em uma página da web, afetando especificamente o arquivo /admin/conferences/list/. A manipulação do argumento sort leva a um ataque de cross-site scripting básico (refletido). Isso pode ser explorado por um invasor remoto.
Recomendações
Para o TrueConf Server versão 4.3.7, considere desativar o acesso ao arquivo /admin/conferences/list/ até que uma correção esteja disponível. Restrinja o uso do argumento sort no arquivo afetado para minimizar o risco de exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

BDU:2022-04035
CVE-2017-20115

Produtos afetados

Trueconf Server