PT-2022-7706 · Selenium · Selenium Server
Publicado
2022-02-07
·
Atualizado
2022-04-27
·
CVE-2022-28108
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Selenium Server (Grid) anteriores à 4
Descrição
O problema está relacionado a uma vulnerabilidade CSRF na ferramenta Selenium Server (Grid). Ela permite tipos de conteúdo que não sejam JSON, como
application/x-www-form-urlencoded, multipart/form-data e text/plain, que podem ser explorados por um invasor remoto para realizar um ataque CSRF.Recomendações
Para versões anteriores à 4, atualize para a versão 4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir os tipos de conteúdo permitidos apenas a JSON para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Selenium Server