PT-2022-4411 · Bpc · Bpc Smartvista
Tf1T
+1
·
Publicado
2022-07-07
·
Atualizado
2022-08-22
·
CVE-2022-35554
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
BPC SmartVista versão 3.28.0
Descrição
O problema diz respeito a vulnerabilidades de XSS refletido no tratamento de mensagens de erro, permitindo que um invasor execute código JavaScript no lado do cliente. Além disso, existe uma vulnerabilidade no módulo de personalização SmartVista CardGen devido à proteção inadequada da estrutura da página web, que pode ser explorada para ataques de cross-site scripting (XSS).
Recomendações
Para o BPC SmartVista versão 3.28.0, considere desativar o recurso de tratamento de mensagens de erro até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS refletida.
Restrinja o acesso ao módulo de personalização SmartVista CardGen para minimizar o risco de ataques XSS.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bpc Smartvista