PT-2024-23106 · Srs · Srs
Antqt
·
Publicado
2024-03-28
·
Atualizado
2024-03-28
·
CVE-2024-29882
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do SRS anteriores à 5.0.210
Versões do SRS anteriores à 6.0.121
Descrição
O problema diz respeito ao SRS, um servidor de vídeo simples, de alta eficiência e em tempo real. Especificamente, o endpoint
/api/v1/vhosts/vid-<id>?callback=<payload> não filtrava o nome da função de callback, levando à injeção de cargas JavaScript maliciosas e à execução de Cross-Site Scripting (XSS).Recomendações
Para versões anteriores à 5.0.210, atualize para a versão 5.0.210 ou posterior.
Para versões anteriores à 6.0.121, atualize para a versão 6.0.121 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Srs