PT-2024-10400 · Unknown+3 · Action Pack+3
Jhawthorn
+1
·
Publicado
2024-12-10
·
Atualizado
2026-03-16
·
CVE-2024-54133
CVSS v4.0
2.3
Baixa
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Action Pack 5.2.0 a 7.0.8.6
Versões do Action Pack 7.0.8.7 a 7.1.5.0
Versões do Action Pack 7.1.5.1 a 7.2.2.0
Versões do Action Pack 7.2.2.1 a 8.0.0.0
Descrição
O problema está relacionado ao auxiliar
content security policy no Action Pack, que pode permitir que um invasor realize ataques de Cross Site Scripting (XSS) ao injetar novas diretivas nos cabeçalhos da Política de Segurança de Conteúdo (CSP). Isso pode levar a uma contornamento da CSP e de sua proteção contra XSS e outros ataques. Aplicativos que definem cabeçalhos CSP dinamicamente a partir de entradas de usuários não confiáveis podem estar vulneráveis.Recomendações
Para as versões do Action Pack 5.2.0 a 7.0.8.6, atualize para a versão 7.0.8.7 ou posterior.
Para as versões do Action Pack 7.0.8.7 a 7.1.5.0, atualize para a versão 7.1.5.1 ou posterior.
Para as versões do Action Pack 7.1.5.1 a 7.2.2.0, atualize para a versão 7.2.2.1 ou posterior.
Para as versões do Action Pack 7.2.2.1 a 8.0.0.0, atualize para a versão 8.0.0.1 ou posterior.
Como solução alternativa temporária, os aplicativos podem evitar definir cabeçalhos CSP dinamicamente a partir de entradas não confiáveis ou podem validar/sanitizar essas entradas.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Action Pack
Debian
Red Os