Vulnerabilità: CVE-2020-27359

Un cross-site scripting (XSS) problema in redcap 8.11.6 attraverso 9.x prima 10 consente agli aggressori di iniettare arbitrario JavaScript o HTML nella funzione Messenger. Si è constatato che il nome del file dell’immagine o file allegato in un messaggio potrebbe essere utilizzato per eseguire questo attacco XSS. Un utente potrebbe creare un messaggio e inviarlo a chiunque sulla piattaforma tra cui amministratori. Il carico utile XSS eseguirebbe sull’altro conto senza interazione da parte dell’utente su più pagine.


https://github.com/seb1055/cve-2020-27358-27359
https://www.evms.edu/research/resources_services/redcap/redcap_change_log/
https://www.ruse.tech/blog/38
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27359


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi