PT-2024-38221 · Unknown · Connx Esp Hr Management
Mariusz Sepczuk
·
Publicado
2024-08-28
·
Atualizado
2025-01-08
·
CVE-2024-7269
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do ConnX ESP HR Management anteriores à 6.6
Descrição
O problema está relacionado a uma vulnerabilidade de neutralização inadequada de entradas durante a geração de páginas da Web no formulário “Atualização de dados pessoais”, permitindo um ataque XSS armazenado. Um invasor pode injetar um script para ser executado no navegador do usuário. Apesar de várias tentativas de contato com o fornecedor, não foi recebida nenhuma resposta.
Recomendações
Para versões anteriores à 6.6, considere desativar o formulário “Atualização de Dados Pessoais” até que um patch esteja disponível para evitar possíveis ataques XSS armazenados. Restrinja o acesso a este formulário para minimizar o risco de exploração. Evite usar este formulário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Connx Esp Hr Management