CVE-2022-23475

ALT: (8)

CVSS3: 7,6

daloRADIUS és vulnerable al cross-site scripting, causat per la validació incorrecta de l’entrada proporcionada per l’usuari pel script mng-del.php. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant un URL especialment dissenyada per a executar un script en el navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es fa clic en l’URL. Un atacant podria usar aquesta vulnerabilitat per robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• daloRADIUS daloRADIUS 1.2

Remediació
Actualitzeu a l’última versió de daloRADIUS (1.3 o posterior), disponible en el repositori GIT de daloRADIUS.

Referències

• https://github.com/lirantal/daloradius/security/advisories/GHSA-c9xx-6mvw-9v84
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23475