PT-2022-3569 · Unknown+4 · Action View+4
Álvaro Martín Fraguas
·
Publicado
2022-04-27
·
Atualizado
2025-09-29
·
CVE-2022-27777
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões dos auxiliares de tag Action View anteriores à 5.2.7.1
Versões dos auxiliares de tag Action View anteriores à 6.0.4.8
Versões dos auxiliares de tag Action View anteriores à 6.1.5.1
Versões dos auxiliares de tag Action View anteriores à 7.0.2.4
Descrição
Existe uma vulnerabilidade XSS nos auxiliares de tag do Action View devido à proteção insuficiente da estrutura da página web. Isso permite que um invasor injete conteúdo se conseguir controlar a entrada em atributos específicos. O problema surge quando entradas não confiáveis são passadas como chaves de hash para atributos de tag, podendo levar a um escape inadequado e a ataques XSS. Por exemplo, em código como
check box tag(‘thename’, ‘thevalue’, false, aria: { malicious input => ‘thevalueofaria’ }), se a variável malicious input contiver dados não confiáveis, isso pode levar a uma vulnerabilidade XSS.Recomendações
Para versões anteriores à 5.2.7.1, atualize para a versão 5.2.7.1 ou posterior.
Para versões anteriores à 6.0.4.8, atualize para a versão 6.0.4.8 ou posterior.
Para versões anteriores à 6.1.5.1, atualize para a versão 6.1.5.1 ou posterior.
Para versões anteriores à 7.0.2.4, atualize para a versão 7.0.2.4 ou posterior.
Como solução alternativa temporária, escape os dados não confiáveis antes de usá-los como chave para métodos de tag helper.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Action View
Astra Linux
Rocky Linux
Suse