PT-2024-39430 · Unknown+2 · Phpldapadmin+2
Andreas Pfefferle
·
Publicado
2024-12-19
·
Atualizado
2025-12-15
·
CVE-2024-9101
CVSS v2.0
5.1
Média
| Vetor | AV:N/AC:H/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
phpLDAPadmin, versões 1.2.1 a 1.2.6.7
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) refletido no ‘Entry Chooser’ do phpLDAPadmin permite que invasores executem código JavaScript arbitrário no navegador do usuário por meio do parâmetro
element, que é passado de forma insegura para a função JavaScript eval. No entanto, a exploração é limitada a condições específicas em que opener está definido corretamente.Recomendações
Para as versões 1.2.1 a 1.2.6.7 do phpLDAPadmin, como solução temporária, considere restringir o uso do recurso ‘Entry Chooser’ até que um patch esteja disponível. Evite usar o parâmetro
element no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Red Os
Phpldapadmin