PT-2024-31552 · Alf.Io · Alf.Io
Cbellone
·
Publicado
2024-09-06
·
Atualizado
2024-09-30
·
CVE-2024-45299
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do alf.io anteriores à 2.0-M5
Descrição
O problema diz respeito a um sistema de reserva de ingressos de código aberto para eventos. Antes da versão 2.0-M5, os dados pré-carregados em formato JSON não são escapados corretamente. Isso permite que um administrador ou administrador de eventos possa danificar sua própria instalação ao inserir texto que não tenha sido escapado corretamente. No entanto, a diretiva Content-Security-Policy bloqueia qualquer execução potencial de script. Os textos destinados à personalização não são escapados adequadamente.
Recomendações
Para versões anteriores à 2.0-M5, atualize para a versão 2.0-M5 para resolver o problema. Como solução temporária, considere evitar o uso de texto não escapado na personalização para minimizar o risco de danos à instalação.
Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alf.Io