PT-2024-35166 · Unopim · Unopim
Yamerooo123
·
Publicado
2024-11-13
·
Atualizado
2024-11-19
·
CVE-2024-52305
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do UnoPim anteriores à 0.1.5
Descrição
Existe uma vulnerabilidade no processo de criação de usuário, permitindo a criação de uma nova conta de administrador com a opção de enviar uma imagem de perfil. Um invasor pode enviar um arquivo SVG malicioso contendo um script incorporado. Quando a imagem de perfil é acessada, o script incorporado é executado, levando ao potencial roubo de cookies de sessão. Esse problema pode levar ao sequestro de sessão e à escalada de privilégios, contornando efetivamente quaisquer proteções CSRF em vigor.
Recomendações
Para versões anteriores à 0.1.5, atualize para a versão 0.1.5 para corrigir a vulnerabilidade. Como solução temporária, considere desativar o recurso de upload de imagem de perfil no processo de criação de usuário até que a atualização seja aplicada. Restrinja o acesso à página de criação de usuário para minimizar o risco de exploração. Evite usar o recurso de imagem de perfil no processo de criação de usuário até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Unopim