CVE-2023-30256

MITJÀ: (6,1)

CVSS3: 5,8

QloApps és vulnerable a seqüències d’ordres en llocs creuats causades per la validació incorrecta de l’entrada proporcionada per l’usuari a l’script AuthController.php. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant els paràmetres back i email_create en un URL especialment dissenyat per executar un script al navegador web d’una víctima dins del context de seguretat del lloc d’allotjament una vegada que es fa clic en l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Webkul Software QloApps 1.5.2

Remediació
Actualitzeu a l’última versió de QloApps (1.6.0 o posterior), disponible en el lloc web de QloApps. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/ahrixia/CVE-2023-30256
• https://qloapps.com/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-30256