CVE-2024-37343

Versões do Absolute Secure Access anteriores à 13.06

Existe uma vulnerabilidade de cross-site scripting no console administrativo do Secure Access. Invasores com credenciais de túnel válidas podem enviar um script de comprimento limitado para o console administrativo, que é então armazenado temporariamente. Um administrador que utilize uma configuração não padrão poderia clicar nele enquanto o invasor mantém uma sessão de túnel válida com o servidor. O escopo permanece inalterado, sem perda de confidencialidade e sem impacto na disponibilidade do sistema, mas o impacto na integridade do sistema é alto.

Para versões anteriores à 13.06, atualize para a versão 13.06 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao console administrativo para minimizar o risco de exploração. Além disso, os administradores devem evitar o uso de configurações não padrão que possam aumentar a vulnerabilidade a este problema.