CVE-2022-40264

MITJÀ: (6,1)

CVSS3: 5,8

Redmine és vulnerable a les seqüències de comandaments creuats causades per la validació incorrecta de l’entrada subministrada per l’usuari de Textile. Un atacant remot podria explotar aquesta vulnerabilitat per a executar scripts en el navegador web d’una víctima dins del context de seguretat del lloc web amfitrió. Un atacant podria utilitzar aquesta vulnerabilitat per a robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Redmine Redmine 4.2.8
• Redmine Redmine 5.0.3

Remediació
Actualitzeu a l’última versió de Redmine (4.2.9, 5.0.4 o posterior), disponible al lloc web de Redmine.

Referències

• http://jvn.jp/en/jp/JVN60211811/index.html
• https://www.redmine.org/news/139
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40264