CVE-2024-34070

Versões do Froxlor anteriores à 2.1.9

Foi identificada uma vulnerabilidade de tipo Stored Blind Cross-Site Scripting (XSS) no recurso de registro de tentativas de login malsucedidas do aplicativo Froxlor. Um usuário não autenticado pode injetar scripts maliciosos no parâmetro loginname durante a tentativa de login, os quais serão executados quando visualizados pelo administrador nos registros do sistema. Ao explorar essa vulnerabilidade, um invasor pode realizar várias ações maliciosas, como forçar o administrador a executar ações sem seu conhecimento ou consentimento. Por exemplo, o invasor pode forçar o administrador a adicionar um novo administrador controlado por ele, obtendo assim controle total sobre o aplicativo. A vulnerabilidade pode levar à desfiguração do aplicativo e permitir que invasores roubem informações confidenciais, como credenciais de login, tokens de sessão e informações de identificação pessoal (PII).

Para versões anteriores à 2.1.9, atualize para a versão 2.1.9 para corrigir a vulnerabilidade. Como solução temporária, considere implementar mecanismos completos de validação e sanitização de todas as entradas do usuário e sanitize funções JavaScript maliciosas para impedir a ligação de dados e a interpolação do Vue.js. Restrinja o acesso aos logs do sistema para minimizar o risco de exploração. Evite usar o parâmetro loginname na tentativa de login afetada até que o problema seja resolvido.