PT-2024-13634 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2024-01-10
·
Atualizado
2024-01-17
·
CVE-2023-48730
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WWBN AVideo dev master commit 15fed957fb
Descrição
Existe uma vulnerabilidade de script entre sites (XSS) na funcionalidade de nome de usuário do arquivo navbarMenuAndLogo.php. Isso permite que um invasor execute código JavaScript arbitrário por meio de uma solicitação HTTP especialmente criada. Um invasor pode explorar essa vulnerabilidade levando um usuário a visitar uma página da Web maliciosa.
Recomendações
Para o WWBN AVideo dev master commit 15fed957fb, considere desativar a funcionalidade de nome de usuário no arquivo navbarMenuAndLogo.php até que um patch esteja disponível para impedir a execução arbitrária de JavaScript. Restrinja o acesso a essa funcionalidade para minimizar o risco de exploração. Evite usar o campo de nome de usuário no arquivo navbarMenuAndLogo.php até que a vulnerabilidade seja resolvida.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo