CVE-2021-47907

Nome do Software Vulnerável e Versões Afetadas Rocket LMS versão 1.1

Descrição Um problema de cross-site scripting persistente existe no módulo de tickets de suporte. Usuários autenticados podem injetar código de script malicioso através do parâmetro title. Isso permite que atacantes enviem tickets de suporte contendo payloads de HTML ou JavaScript incorporados que são executados nos navegadores de outros usuários ao visualizarem o histórico de mensagens, podendo levar a ataques de phishing e sequestro de sessão (a aquisição não autorizada do token de sessão de um usuário para se passar por ele).

Recomendações Como medida paliativa temporária, restrinja o acesso ao módulo de tickets de suporte ou evite usar o parâmetro title até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.