CVE-2023-46580

MITJÀ: (6,4)

CVSS3: 6,2

Code Projects Inventory Management és vulnerable a la injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari per l’script editProduct.php. Un atacant autenticat remot podria explotar aquesta vulnerabilitat mitjançant el paràmetre pname per injectar un script maliciós a una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• Code Projects Inventory Management 1.0

Remediació
No hi ha cap recurs des del 17 de novembre de 2023.

Referències

• Code Projects Inventory Management
• CVE-2023-46580-Code-Projects-Inventory-Management-1.0-Stored-Cross-Site-Scripting-Vulnerability
• Cross-Site Scripting (XSS) vulnerability in Inventory Management V1.0 allows attackers to execute arbitrary code via the pname parameter of the editProduct.php component.