CVE-2024-36494

Versões do SoftwareX (versões afetadas não especificadas)

O problema se deve à falta de sanitização de entradas, permitindo que um invasor execute ataques de cross-site scripting (XSS) e execute JavaScript arbitrário no navegador de outros usuários. A página de login em “/cgi/slogin.cgi” sofre de XSS refletido devido à filtragem inadequada de entradas do parâmetro -tsetup+-uuser. Isso só pode ser explorado se o usuário alvo ainda não estiver conectado, tornando-o ideal para tentativas de phishing no formulário de login.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint /cgi/slogin.cgi até que um patch esteja disponível. Evite usar o parâmetro -tsetup+-uuser no endpoint da API afetado até que o problema seja resolvido.