PT-2024-18911 · Unknown · Caddy-Security
David Pokora
+2
·
Publicado
2024-02-16
·
Atualizado
2024-11-06
·
CVE-2024-21496
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
github.com/greenpau/caddy-security todas as versões
Descrição
A vulnerabilidade está relacionada a Cross-site Scripting (XSS) via cabeçalho Referer, causada por sanitização inadequada de entradas. Embora alguns caracteres sejam escapados para prevenir XSS, a sanitização não leva em conta ataques baseados no esquema de URL do JavaScript. Isso pode levar à execução de scripts maliciosos no contexto do navegador do usuário alvo, comprometendo as sessões dos usuários.
Recomendações
Para todas as versões do github.com/greenpau/caddy-security, considere implementar uma sanitização adequada de entradas para o cabeçalho Referer a fim de prevenir ataques XSS. Como solução temporária, considere restringir o acesso a recursos confidenciais que dependem do cabeçalho Referer até que uma correção adequada esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Caddy-Security