Sentrifugo HRMS存储型跨站脚本漏洞
| 厂商 |  |
| 产品 | Sentrifugo HRMS |
| 受影响的版本 | 3.2及以前版本 |
| 测试版本 | 3.2 |
| 漏洞发现日期 | 2020-11-6 |
| 厂商通知日期 | 2020-11-6 |
| 预警公告日期 | 2020-11-6【无技术细节】 |
| 厂商确认日期 | 无 |
| 厂商修复日期 | 2020-11-5 |
| 公开披露日期 | 2020-11-6 |
| 最新修正日期 | 2020-6-10 |
| CVE ID | 待定 |
| 产品描述 | Sentrifugo是一个免费的人力资源管理系统,功能强大,可以轻松配置以满足您的企业需求。 |
| 发现者 | Luis Noriega,安全研究员和渗透测试人员@wizlynx group |
漏洞描述
| 存储型跨站脚本漏洞 | |||
| 严重程度: 中 | CVSS 分数: 6.1 | CWE-ID: CWE-79 | 状态: 未修复 |
| 漏洞详情 | |||
| Sentrifugo 3.2通过在登录尝试期间在X-Forwarded-For HTTP标头中插入有效负载,从而允许存储型跨站点脚本(XSS)漏洞。管理员查看用户日志时,将执行恶意负载。 | |||
| CVSS基准分 | |||
| 攻击媒介 | 网络 | 范围 | 变化 |
| 攻击复杂度 | 低 | 保密性影响 | 低 |
| 所需特权 | 低 | 一致性影响 | 低 |
| 用户互动 | 需要 | 可用性影响 | 低 |
详情
一旦厂商提供补丁,就会披露有关该漏洞的全面细节。
넶浏览量:0
-
安全要防患于未然!漏洞评估和渗透测试快速指南
넶14 2023-05-11 -
网络威胁情报与数据隐私和数据泄露的关系
넶68 2022-06-23 -
wizlynx集团与BlueDart咨询公司达成战略合作
我们很高兴地宣布与BlueDart咨询服务(Pty)有限公司建立战略合作伙伴关系!我们将共同在南非提供高质量的安全评估、渗透测试和红队服务。
넶83 2022-05-25 -
威联科技与 IoT Inspector达成合作
넶236 2021-05-24
