CVE-2023-26061

Versões do Nokia NetAct anteriores à 22 FP2211

O problema está relacionado à proteção insuficiente da estrutura da página da web durante a criação de tarefas. Isso permite que um invasor execute ataques de cross-site scripting (XSS) por meio da injeção de scripts. A vulnerabilidade pode ser explorada na guia “Pesquisa Programada” da página “Painel de Relatórios de Alarmes”, onde os usuários podem criar um script para injetar XSS devido à falta de validação de entrada durante a criação de uma tarefa programada. Para um invasor externo, é muito difícil explorar isso, pois seriam necessários alguns parâmetros criados dinamicamente, como Jsession-id, um token CSRF e um token Nxsrf. Realisticamente, o ataque só pode ser realizado por um usuário interno.

Para versões do Nokia NetAct anteriores à 22 FP2211, atualize para a versão 22 FP2211 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à guia Pesquisa Programada na página Painel de Relatórios de Alarmes para minimizar o risco de exploração. Além disso, restrinja a capacidade de criar scripts que possam injetar XSS nesta página até que o problema seja resolvido.