PT-2024-8622 · Hashicorp+4 · Hashicorp Consul+5

Publicado

2024-10-30

·

Atualizado

2025-01-10

·

CVE-2024-10086

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Consul (versões afetadas não especificadas)
Consul Enterprise (versões afetadas não especificadas)
Descrição
Existe uma vulnerabilidade no Consul devido à falta de proteção da estrutura da página da web, permitindo que um invasor remoto realize um ataque de script entre sites (XSS). A resposta do servidor não define explicitamente um cabeçalho HTTP Content-Type, permitindo que entradas fornecidas pelo usuário sejam interpretadas incorretamente e levando a um XSS refletido.
Recomendações
Atualize para a versão mais recente, conforme as orientações.
Como solução temporária, considere restringir as entradas fornecidas pelo usuário para minimizar o risco de exploração.
Restrinja o acesso aos módulos vulneráveis do Consul e do Consul Enterprise para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2024-15498
BDU:2024-10200
BIT-CONSUL-2024-10086
CVE-2024-10086
GHSA-99WR-C2PX-GRMH
GO-2024-3242
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14458-1
OPENSUSE-SU-2024_3950-1
SUSE-SU-2024:3950-1

Produtos afetados

Alt Linux
Hashicorp Consul
Hashicorp Consul Enterprise
Debian
Red Os
Suse