PT-2024-19402 · Avo · Avo
Stevegeek
·
Publicado
2024-01-16
·
Atualizado
2024-01-24
·
CVE-2024-22411
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Avo anteriores à 2.47.0
Versões do Avo anteriores à 3.3.0
Descrição
O Avo é uma estrutura para criar painéis de administração para aplicativos Ruby on Rails. No Avo, qualquer código HTML dentro de texto que seja passado para
error ou succeed em uma subclasse de Avo::BaseAction será renderizado diretamente, sem sanitização, na notificação que aparece na interface do usuário após a conclusão da ação. Um usuário mal-intencionado poderia explorar isso para desencadear um ataque de script entre sites contra um usuário desavisado.Recomendações
Para versões anteriores à 2.47.0, atualize para a versão 2.47.0 ou posterior.
Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 ou posterior.
Como solução temporária, considere desativar os métodos
error e succeed nas subclasses de Avo::BaseAction até que um patch esteja disponível.Restrinja o acesso à subclasse
Avo::BaseAction para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avo