PT-2022-9380 · Cacti · Cacti
Publicado
2022-01-19
·
Atualizado
2022-05-24
·
CVE-2021-23225
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Cacti versão 1.1.38
Descrição
A vulnerabilidade permite que usuários autenticados com permissões de gerenciamento de usuários injetem scripts web ou HTML arbitrários no campo
new username durante a criação de um novo usuário por meio do método “Copy” no endpoint “user admin.php”.Recomendações
Para a versão 1.1.38 do Cacti, considere restringir o acesso ao método “Copiar” em user admin.php para impedir a exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o campo
new username para a criação de usuários até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cacti