CVE-2022-1226

phpipam/phpipam versões anteriores à 1.4.7

Uma vulnerabilidade de Cross-Site Scripting (XSS) permite que invasores executem código JavaScript arbitrário no navegador da vítima. Esse problema afeta o recurso de importação de conjuntos de dados por meio do upload de arquivos de planilhas. Os endpoints afetados incluem “import-vlan-preview.php”, “import-subnets-preview.php”, “import-vrf-preview.php”, “import-ipaddr-preview.php”, “import-devtype-preview.php”, “import-devices-preview.php” e “import-l2dom-preview.php”. A vulnerabilidade pode ser explorada através do upload de um arquivo de planilha especialmente criado contendo cargas de JavaScript maliciosas, que são então executadas no contexto do navegador da vítima. Isso pode levar à desfiguração de sites, à execução de código JavaScript malicioso, ao roubo de cookies do usuário e ao acesso não autorizado a contas de usuário.

Para versões anteriores à 1.4.7, atualize para a versão 1.4.7 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao recurso de importação de conjuntos de dados e aos endpoints afetados até que um patch seja aplicado.

Evite enviar arquivos de planilhas de fontes não confiáveis para minimizar o risco de exploração.