PT-2022-6509 · Qlik · Qlikview
Giulio Garzia
·
Publicado
2022-10-03
·
Atualizado
2023-03-13
·
CVE-2022-42248
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
QlikView versão 12.60.2
Descrição
O problema está relacionado à funcionalidade QvsViewClient da plataforma analítica QlikView, na qual a estrutura das páginas da web não é protegida adequadamente durante a criação de objetos interativos. Isso pode ser explorado por um invasor remoto para realizar ataques de cross-site scripting (XSS) por meio do envio de solicitações POST especialmente criadas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para a versão 12.60.2 do QlikView, considere desativar a funcionalidade QvsViewClient até que uma correção esteja disponível para evitar possíveis ataques de cross-site scripting. Restrinja o acesso ao módulo QvsViewClient para minimizar o risco de exploração. Evite usar a funcionalidade QvsViewClient nos pontos de extremidade da API afetados até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qlikview