Podatność typu Reflected XSS w produkcie Eliz Software Panel umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript, który jest wykonywany w przeglądarce ofiary. Wysoka ocena CVSS 9.4 wskazuje na poważne ryzyko dla poufności, integralności i dostępności zarówno po stronie klienta, jak i serwera.
▸ Pokaż oryginał (EN)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Eliz Software Panel allows Reflected XSS. This issue affects Panel: before v2.3.24.
Podatność wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony WWW (CWE-79). Atakujący może dostarczyć spreparowany payload w żądaniu HTTP, który jest odbijany (reflected) przez serwer i osadzany w odpowiedzi bez odpowiedniego kodowania lub filtrowania. Ofiara musi zostać nakłoniona do kliknięcia w złośliwy link lub odwiedzenia spreparowanego adresu URL, co powoduje wykonanie kodu JavaScript w jej przeglądarce w kontekście zaufanej domeny aplikacji.
Atakujący może przejąć sesję zalogowanego użytkownika, wykraść poufne dane (np. ciasteczka sesyjne, tokeny), wykonywać działania w imieniu ofiary lub przeprowadzać dalsze ataki na infrastrukturę obsługiwaną przez Panel. Ze względu na wysokie oceny wpływu na systemy zależne (SC:H, SI:H, SA:H), skutki mogą wykraczać poza samego użytkownika końcowego.
Należy zaktualizować Eliz Software Panel do wersji v2.3.24 lub nowszej. Szczegółowe informacje dotyczące łatki dostępne są w referencjach producenta oraz w komunikacie bezpieczeństwa USOM (TR-24-1497).
Eliz Software Panel w wersjach przed v2.3.24.
Podatność została zgłoszona i opisana przez turecką jednostkę USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-24-1497.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XElizsoftware Panel
APPElizsoftware< 2.3.24
Powiązane podatności
SQL Injection umożliwiający wykonanie poleceń w Eliz Software Panel
Stored XSS w Eliz Software Panel — wstrzyknięcie skryptu po stronie serwera
Przechowywanie haseł w postaci jawnej w Elizsoftware Panel