PT-2024-21247 · Frentix Gmbh · Openolat Lms
Johannes Völpel
+1
·
Publicado
2024-02-20
·
Atualizado
2025-03-14
·
CVE-2024-25973
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Frentix GmbH OpenOlat LMS (versões afetadas não especificadas)
Descrição
O problema diz respeito a várias vulnerabilidades de Cross-Site Scripting (XSS) armazenadas. Um invasor com direitos para criar ou editar grupos pode criar um curso com um nome que contenha uma carga útil de XSS. Além disso, invasores com permissões para criar ou renomear um catálogo (subcategoria) ou criar currículos podem inserir entradas não filtradas no campo de nome, permitindo-lhes executar código JavaScript armazenado com as permissões da vítima no contexto do navegador do usuário.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openolat Lms