PT-2024-25754 · Unknown · Computer Laboratory Management System
Kha Do
·
Publicado
2024-05-13
·
Atualizado
2024-09-03
·
CVE-2024-34224
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Sistema de Gerenciamento de Laboratório de Informática, versão 1.0
Descrição
O problema diz respeito a uma vulnerabilidade de Cross Site Scripting. Ela permite que invasores remotos injetem scripts web ou HTML arbitrários por meio dos parâmetros
firstname, middlename, lastname no endpoint da API /php-lms/classes/Users.php?f=save.Recomendações
Para o Sistema de Gerenciamento de Laboratórios de Informática versão 1.0, como solução temporária, considere validar e sanitizar os parâmetros
firstname, middlename, lastname para impedir a injeção de scripts maliciosos. Restrinja o acesso ao endpoint /php-lms/classes/Users.php?f=save até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Computer Laboratory Management System