PT-2025-3086 · Monicahq · Monicahq
Nicolas Gula
·
Publicado
2025-01-10
·
Atualizado
2025-01-13
·
CVE-2024-54996
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
MonicaHQ versão 4.1.2
Descrição
O problema envolve múltiplas vulnerabilidades de Injeção no Lado do Cliente (Client-Side Injection) autenticadas no MonicaHQ. Essas vulnerabilidades ocorrem através dos parâmetros
title e description no endpoint da API "/people/ID/reminders/create". A exploração deste problema pode ser realizada por usuários autenticados, o que pode limitar o impacto.Recomendações
Para a versão 4.1.2 do MonicaHQ, considere desativar a funcionalidade que permite aos usuários inserir dados nos parâmetros
title e description no endpoint da API "/people/ID/reminders/create" até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite utilizar os parâmetros title e description no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
XSS
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Monicahq