PT-2025-30891 · Unknown · Openblow Whistleblowing Platform
Tifa Lockhart
·
Publicado
2025-07-25
·
Atualizado
2025-07-25
·
CVE-2025-34114
CVSS v4.0
8.4
Alta
| Vetor | AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Plataforma de denúncia OpenBlow (versões afetadas não especificadas)
Descrição
Existe uma má configuração de segurança no lado do cliente devido à ausência de cabeçalhos de resposta HTTP críticos, incluindo Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy e Cross-Origin-Resource-Policy. Isso enfraquece as defesas no nível do navegador e expõe os usuários a cross-site scripting (XSS), clickjacking e vazamento de referer. A imposição da Política de Segurança de Conteúdo (CSP) via tags HTML
<meta> é ineficaz, pois os navegadores modernos priorizam a imposição baseada em cabeçalhos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openblow Whistleblowing Platform