PT-2024-34419 · Unknown · Hopetree Izone Lts

V9D0Go

Publicado

2024-11-08

Atualizado

2024-11-12

CVE-2024-50810

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas:

hopetree izone lts versão c011b48

Descrição:

O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS) na função de comentários de artigos. Especificamente, a função AddCommintView() em appscommentviews.py não filtra de forma segura as entradas do usuário, exibindo-as diretamente na página do front-end por meio de modelos. Isso permite possíveis ataques XSS.

Recomendações:

Para a versão c011b48, certifique-se de que a função AddCommintView() filtre com segurança as entradas do usuário para evitar ataques XSS. Como solução temporária, considere desativar a função AddCommintView() até que um patch esteja disponível. Restrinja o acesso à funcionalidade de comentários para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2024-50810

Produtos afetados

Hopetree Izone Lts

PT-2024-34419 · Unknown · Hopetree Izone Lts

CVE-2024-50810

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7