Vulnerabilità: CVE-2020-8115

Un riflesso XSS vulnerabilità è stata scoperta nel accessibile al pubblico sceneggiatura consegna afr.php di fa rivivere Adserver <= 5.0.3 di Jacopo Tediosi. Al momento non ci sono exploit non sono noti: l’identificatore di sessione non può essere letta come viene memorizzato in un cookie http-solo a partire dalla v3.2.2. Nelle versioni più vecchie, tuttavia, in determinate circostanze, potrebbe essere possibile per rubare l’identificatore di sessione e ottenere l’accesso a l’interfaccia di amministrazione. La stringa di query inviata al www / consegna / afr.php script è stato stampato indietro senza adeguata fuga in un contesto JavaScript, consentendo un attaccante di eseguire codice arbitrario JS sul browser della vittima.


https://hackerone.com/reports/775693
https://www.revive-adserver.com/security/revive-sa-2020-001/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8115


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi