PT-2024-29577 · Twisted+5 · Twisted+5
V1Ktor0T
·
Publicado
2024-07-29
·
Atualizado
2025-12-26
·
CVE-2024-41810
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Twisted anteriores à 24.7.0rc1
Descrição
A função
twisted.web.util.redirectTo contém uma vulnerabilidade de injeção de HTML. Se o código da aplicação permitir que um invasor controle a URL de redirecionamento, essa vulnerabilidade pode resultar em um ataque de Cross-Site Scripting (XSS) refletido no corpo HTML da resposta de redirecionamento. A função reflete a URL de destino no corpo HTML sem qualquer codificação de saída, permitindo que um invasor injete HTML arbitrário no corpo da resposta, levando, em última instância, a um ataque XSS. Essa vulnerabilidade pode ser explorada no Firefox, permitindo que JavaScript malicioso seja executado no contexto da sessão da vítima, levando ao acesso não autorizado ou à modificação da conta e das informações da vítima.Recomendações
Para versões do Twisted anteriores à 24.7.0rc1, atualize para a versão 24.7.0rc1 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o uso da função
redirectTo para minimizar o risco de exploração. Evite usar a função redirectTo com URLs não confiáveis ou controladas pelo usuário até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Linuxmint
Red Os
Suse
Twisted
Ubuntu