PT-2024-30197 · Unknown · Limesurvey
Paoloelia
·
Publicado
2024-09-03
·
Atualizado
2024-09-13
·
CVE-2024-42903
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.6.1+240806 e anteriores do LimeSurvey
Descrição
Uma falha de injeção no cabeçalho Host na função de redefinição de senha permite que invasores enviem aos usuários um link de redefinição de senha manipulado que redireciona as vítimas para um domínio malicioso. Isso ocorre porque a função de redefinição de senha não valida corretamente o cabeçalho Host, possibilitando redirecionamentos maliciosos.
Recomendações
Para as versões 6.6.1+240806 e anteriores do LimeSurvey, como solução temporária, considere desativar a função de redefinição de senha até que um patch esteja disponível. Restrinja o acesso ao recurso de redefinição de senha para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Limesurvey