Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu 2ClickPortal
14 czerwca 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-5961
Data publikacji 14 czerwca 2024
Producent podatnego oprogramowania Trol InterMedia Sp. z o.o. Sp. k.
Nazwa podatnego oprogramowania 2ClickPortal
Podatne wersje Od 7.2.31 do 7.6.4 włącznie
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu 2ClickPortal firmy Trol InterMedia Sp. z o.o. Sp. k. i koordynował proces ujawniania informacji.

Podatność CVE-2024-5961 typu Reflected Cross-Site Scripting (XSS) umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność dotyczy wersji od 7.2.31 do 7.6.4. Wersja 7.6.5 zawiera poprawkę bezpieczeństwa. Aktualizacja powinna zostać wdrożona automatycznie do wszystkich systemów klienckich.

Podziękowania

Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu. Dziękujemy także producentowi oprogramowania za natychmiastową reakcję i usunięcie zgłoszonego błędu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.