Injecció indirecta de scripts a SourceCodester QR Code Bookmark System
18/04/2024
CVE-2024-3797
MITJÀ: (6,4)
CVSS3: 6,2
El sistema d’adreces d’interès de codi QR de SourceCodester és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari per l’script /endpoint/delete-bookmark.php. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant el paràmetre de marcador en un URL especialment dissenyat per executar un script en un navegador web de víctimes dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de les víctimes.
Sistemes Afectats
- SourceCodester QR Code Bookmark System 1.0
Remediació
No hi ha cap recurs disponible a partir del 15 d’abril del 2024.