PT-2024-38651 · Kofax · Totalagility
Abderrahmane Bounhidja
+1
·
Publicado
2024-12-06
·
Atualizado
2024-12-06
·
CVE-2024-7875
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Tungsten Automation (Kofax) TotalAgility, todas as versões até a 7.9.0.25.0.954
Descrição
A vulnerabilidade permite ataques XSS refletidos por meio da manipulação do parâmetro
mfpScreenResolutionWidth em um formulário enviado ao endpoint “/TotalAgility/Kofax/BrowserDevice/ScanFront.aspx”. Isso possibilita a injeção de código JavaScript malicioso, podendo levar a vazamentos de informações. A exploração é limitada a solicitações POST e requer um parâmetro VIEWSTATE adequado, o que reduz o risco de um ataque bem-sucedido.Recomendações
Para todas as versões até 7.9.0.25.0.954, como solução temporária, considere restringir o acesso ao endpoint
/TotalAgility/Kofax/BrowserDevice/ScanFront.aspx até que um patch esteja disponível. Além disso, evite usar o parâmetro mfpScreenResolutionWidth no formulário afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totalagility