PT-2024-17019 · Issuetrak · Issuetrak
Harrison Daley
·
Publicado
2024-12-04
·
Atualizado
2024-12-04
·
CVE-2024-11479
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Issuetrak versão 17.1
Descrição
Foi identificada uma vulnerabilidade de injeção de HTML que poderia ser acionada por um usuário autenticado. Marcações HTML poderiam ser adicionadas aos comentários dos tickets e, ao serem enviadas, seriam exibidas nos e-mails enviados a todos os usuários envolvidos nesse ticket.
Recomendações
Para a versão 17.1 do Issuetrak, considere restringir a capacidade de adicionar marcação HTML aos comentários até que uma correção esteja disponível. Como solução alternativa temporária, considere validar e sanitizar as entradas do usuário nos comentários para impedir que código HTML malicioso seja executado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Issuetrak