CVE-2024-56361

Versões do LGSL anteriores à 7.0.0

Foi identificada uma vulnerabilidade de cross-site scripting (XSS) armazenada no LGSL. O problema decorre da sanitização inadequada das entradas do usuário. A função lgsl query 40 em lgsl protocol.php implementou um rastreador HTTP, que faz uma solicitação ao servidor de jogos registrado e renderiza javascript na página de informações ao rastrear o endpoint malicioso /info com uma carga útil. Essas informações são exibidas por meio de lgsl details.php. Todos que acessarem essa página serão afetados por esse ataque.

Para versões anteriores à 7.0.0, atualize para a versão 7.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função lgsl query 40 em lgsl protocol.php até que um patch esteja disponível. Restrinja o acesso ao endpoint /info para minimizar o risco de exploração. Evite usar o campo EconomyDesc na carga JSON servida em /info até que o problema seja resolvido.