PT-2024-21057 · October · October
Mayank Mehra
·
Publicado
2024-06-26
·
Atualizado
2024-06-27
·
CVE-2024-25637
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões de outubro anteriores à 3.5.15
Descrição
O cabeçalho X-October-Request-Handler não sanitiza o nome do manipulador AJAX e permite que HTML sem escape seja refletido de volta. Não há impacto, pois essa vulnerabilidade não pode ser explorada por meio de interações normais do navegador. Esse valor não escapado só é detectável ao usar uma ferramenta de interceptação de proxy.
Recomendações
Para versões anteriores à 3.5.15, atualize para a versão 3.5.15 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao cabeçalho X-October-Request-Handler para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
October