PT-2025-12776 · Asustor · Adm
Engin Aydoğan
·
Publicado
2025-03-25
·
Atualizado
2025-07-18
·
CVE-2025-7380
CVSS v4.0
4.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
Versões do ADM de 4.1.0 a 4.3.3.RH61
Versão do ADM 5.0.0.RIN1 e anteriores
Descrição:
Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no Controle de Acesso do ADM. A vulnerabilidade permite que um atacante injete scripts maliciosos no campo de nome da pasta ao criar uma nova pasta compartilhada. Esses scripts não são devidamente sanitizados e serão executados quando o nome da pasta for exibido na interface do usuário. Isso permite que atacantes executem JavaScript arbitrário no contexto da sessão de outro usuário, potencialmente acessando cookies de sessão ou outros dados sensíveis.
Recomendações:
Atualize o ADM para uma versão posterior a 5.0.0.RIN1.
Atualize o ADM para uma versão posterior a 4.3.3.RH61.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Adm