CVE-2022-37775

MITJÀ: (6.1)

CVSS3: 5.4

Genesys PureConnect és vulnerable a les seqüències de comandos en llocs creuats, causades per la validació inadequada de l’entrada subministrada per l’usuari en l’historial de xat imprimible. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant el paràmetre POST JSON del participant -> nomeni en una URL especialment dissenyada per executar un script en el navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es faci clic en la URL. Un atacant podria usar aquesta vulnerabilitat per robar les credencials d’autenticació basades en cookies de la víctima.

Sistemes Afectats

• Genesys PureConnect

Remediació
No hi ha cap remei disponible en data de 19 de setembre de 2022.

Referències

• https://packetstormsecurity.com/files/168410
• https://www.genesys.com/en-sg/pureconnect
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37775