Injecció indirecta de scripts emmagatzemada a HaloITSM
14/08/2024
CVE-2024-6200
ALT (8,0)
CVSS3: 0,0
HaloITSM és vulnerable a la injecció indirecta de scipts, causats per una validació incorrecta de les entrades proporcionades per l’usuari per part dels Tickets. Un atacant remot podria explotar aquesta vulnerabilitat per injectar un script maliciós en una pàgina web que s’executaria al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament, un cop visualitzada la pàgina. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.
Sistemes Afectats
- Halo Service Solutions HaloITSM 2.143.6
Remediació
No hi ha cap recurs disponible a partir del 6 d’agost del 2024.
Referències
- https://haloitsm.com/guides/article/?kbid=2154