PT-2024-29494 · Ampache · Ampache
Hebing123
·
Publicado
2024-07-23
·
Atualizado
2024-07-24
·
CVE-2024-41665
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Ampache anteriores à 6.6.0
Descrição
O problema é uma vulnerabilidade de cross-site scripting (XSS) armazenada no recurso “Playlists - Democratic - Configure Democratic Playlist”. Um invasor com permissões de Gerenciador de Conteúdo pode explorar essa vulnerabilidade definindo o campo
Name com código malicioso, como <svg onload=alert(8)>, o que afetará administradores ou usuários que acessarem a funcionalidade Democratic. Isso pode levar o invasor a obter cookies dos usuários afetados. A vulnerabilidade é explorada por meio do arquivo democratic.php.Recomendações
Para versões anteriores à 6.6.0, atualize para a versão 6.6.0 para resolver o problema.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ampache