CVE-2024-28142

Não há menção a nenhum software ou versão específica nas descrições fornecidas.

O problema se deve à falta de sanitização de entradas, permitindo que um invasor realize ataques de cross-site scripting e execute código JavaScript arbitrário no navegador de outros usuários. A página “Nome do arquivo” (/cgi/uset.cgi?-cfilename) no menu Configurações do usuário não filtra adequadamente o campo de entrada nome do arquivo e os caracteres curinga. Ao explorar o recurso de caracteres curinga, invasores podem armazenar código JavaScript arbitrário que é acionado se a página for visualizada posteriormente, por exemplo, por usuários com privilégios superiores, como administradores. Esse ataque pode até mesmo ser realizado sem estar conectado, pois as funções afetadas não estão totalmente protegidas. Sem estar conectado, apenas o parâmetro nome do arquivo do usuário “Padrão” pode ser alterado.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.