PT-2024-21671 · Apache · Apache Archiva
Ben Tullis
+6
·
Publicado
2024-03-01
·
Atualizado
2025-05-28
·
CVE-2024-27140
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Apache Archiva versões 2.0.0 e posteriores
Descrição
O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting. Isso afeta o Apache Archiva, um produto que não conta mais com suporte do seu mantenedor. Consequentemente, não há planos para uma correção desse problema. Recomenda-se aos usuários que busquem uma alternativa ou restrinjam o acesso à instância a usuários confiáveis. Uma medida de mitigação adicional é configurar um proxy HTTP na frente da instância do Archiva para filtrar solicitações com caracteres maliciosos na URL.
Recomendações
Para as versões 2.0.0 e posteriores do Apache Archiva, considere o seguinte:
-
Encontre uma alternativa ao Apache Archiva.
-
Restrinja o acesso à instância a usuários confiáveis.
-
Configure um proxy HTTP na frente da instância do Archiva para encaminhar apenas solicitações que não contenham caracteres maliciosos na URL.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Archiva