Sep 11, 2022 | web | research

CVE-2021-36568

Kirito

Hacker

Descrição

Após a criação de um curso e possível adicionar no tópico os recursos database com o tipo texto onde seus valores "Nome do campo" e "Descrição do campo" são vulneráveis a Cross Site Scripting Stored (XSS)

Prova de conceito

Para explorar a vulnerabilidade e necessário que um usuário acesse o curso e clique no recurso tabela na opção Search

Os campos afetados são: "Nome do campo" do tipo banco de dados texto , "Descrição do campo" do tipo banco de dados texto

Atacante

Vítima

Versões afetadas

3.9.7

3.10.4

3.11

Referências

CVE: CVE-2021-36568

Classificação

Type: Cross-Site Scripting

OWASP TOP 10: A03:2021-Injection

CWE: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Pesquisadores/Hackers

Thiago Martins, Leandro Inacio, Matheus Oliveira e Lucas Gomes

Support us

Hacking Force is a community focused on spreading knowledge about technology and cyber security, offering a way for people to rise. We are grateful for being supported by people with the same point of view. If you indentify with it, then consider joining us.

contact@hackingforce.com.br

Principal Sponsors

nowcy

Blog Hacking Force © 2024