CVE-2024-56517

LGSL (Live Game Server List) versões até a 6.2.1, inclusive

O problema está relacionado a uma vulnerabilidade de cross-site scripting refletido no cabeçalho HTTP Referer. Essa vulnerabilidade permite que invasores injetem código JavaScript arbitrário, que é refletido na resposta HTML sem a devida sanitização. Quando uma entrada maliciosa elaborada é fornecida no cabeçalho Referer, ela é repetida em um atributo HTML na resposta do aplicativo. A vulnerabilidade está presente no endpoint /lgsl files/lgsl list.php, especificamente nas linhas em que a variável $uri é definida com base no cabeçalho HTTP REFERER.

Para versões do LGSL (Live Game Server List) até e incluindo a 6.2.1, atualize para uma versão que inclua o patch commit 7ecb839df9358d21f64cdbff5b2536af25a77de1 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao endpoint /lgsl files/lgsl list.php para minimizar o risco de exploração.

Evite usar o cabeçalho Referer com entradas não confiáveis até que o problema seja resolvido.