PT-2024-22676 · Xibo · Xibo
Saadet-T
·
Publicado
2024-04-12
·
Atualizado
2024-04-15
·
CVE-2024-29022
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Xibo anteriores à 3.3.10
Versões do Xibo anteriores à 4.0.9
Versão 1.8 do Xibo
Versão 2.3 do Xibo
Descrição
O Xibo é uma plataforma de sinalização digital de código aberto que inclui um sistema de gerenciamento de conteúdo web e um software reprodutor para Windows. Nas versões afetadas, alguns cabeçalhos de solicitação não são sanitizados corretamente quando armazenados nas tabelas de sessão e de exibição. Esses cabeçalhos podem ser usados para injetar um script malicioso na página de sessão a fim de extrair IDs de sessão e User Agents. Esses IDs de sessão/User Agents podem ser usados posteriormente para sequestrar sessões ativas. Um script malicioso pode ser injetado na grade de exibição para extrair informações relacionadas aos monitores.
Recomendações
Para versões do Xibo anteriores à 3.3.10, atualize para a versão 3.3.10.
Para versões do Xibo anteriores à 4.0.9, atualize para a versão 4.0.9.
Para a versão 1.8 do Xibo, aplique o patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff.
Para a versão 2.3 do Xibo, aplique o patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff.
Como solução temporária, considere restringir o acesso às tabelas de sessão e exibição até que um patch esteja disponível.
Evite usar os cabeçalhos de solicitação vulneráveis nos pontos de extremidade da API afetados até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Xibo