PT-2022-3300 · Trueconf · Trueconf Server

Liquidworm

·

Publicado

2022-06-29

·

Atualizado

2023-04-20

·

CVE-2017-20116

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
TrueConf Server versão 4.3.7
Descrição
O problema está relacionado à falha na neutralização de tags HTML relacionadas a scripts na página /admin/group/list/ do software TrueConf Server. Isso pode permitir que um invasor remoto execute ataques de cross-site scripting (XSS) manipulando o argumento checked group id. O ataque pode ser lançado remotamente.
Recomendações
Para o TrueConf Server versão 4.3.7, considere desativar o acesso à página /admin/group/list/ até que uma correção esteja disponível. Restrinja o uso do argumento checked group id na página afetada para minimizar o risco de exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

BDU:2022-04038
CVE-2017-20116

Produtos afetados

Trueconf Server