CVE-2024-12641

TenderDocTransfer da Chunghwa Telecom (versões afetadas não especificadas)

O aplicativo apresenta uma vulnerabilidade de Cross-site scripting refletido. Ele configura um servidor web local simples e fornece APIs para comunicação com o site de destino. Devido à falta de proteção CSRF para as APIs, invasores remotos não autenticados poderiam usar APIs específicas por meio de phishing para executar código JavaScript arbitrário no navegador do usuário. Como o servidor web configurado pelo aplicativo suporta recursos do Node.js, os invasores podem aproveitar isso para executar comandos do sistema operacional.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.