CVE-2024-46367

CRÍTIC (9,8)

CVSS3: 8,5

Una vulnerabilitat Stored Cross-Site Scripting (XSS) a Webkul Krayin CRM 1.3.0 permet que els atacants remots injectin codi JavaScript arbitrari enviant una càrrega útil maliciosa dins del camp del nom d’usuari. Això pot provocar una escalada de privilegis quan s’executa la càrrega útil, i atorgar a l’atacant permisos elevats dins del sistema CRM.

Sistemes Afectats

• run-llama llama_index – 0.10.37

Remediació
No hi ha cap recurs disponible a partir del 27 de setembre del 2024.

Referències

• https://gist.github.com/Tommywarren/4ac0c8f6e5d8584accd31b8277e55749
• A Stored Cross-Site Scripting (XSS) vulnerability in Webkul Krayin CRM 1.3.0 allows remote attackers to inject arbitrary JavaScript code by submitting a malicious payload within the username field.