CVE-2024-10719

Nome do Software Vulnerável e Versões Afetadas Versões do phpipam de 1.5.2 a 1.6.x

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado, especificamente na funcionalidade de opções de circuitos. Isso permite que um invasor injete scripts maliciosos através do parâmetro option na requisição POST para "/phpipam/app/admin/circuits/edit-options-submit.php". O script injetado pode ser executado no contexto do navegador do usuário, levando ao potencial roubo de cookies e divulgação de arquivos do usuário final.

Recomendações Para versões anteriores à 1.7.0, atualize para a versão 1.7.0 para resolver o problema. Como medida paliativa temporária, considere restringir o acesso ao endpoint "/phpipam/app/admin/circuits/edit-options-submit.php" até que o problema seja resolvido. Evite usar o parâmetro option no endpoint da API afetado até que o problema seja resolvido.