| CVE ID | CVE-2024-7127 |
| Data publikacji | 30 lipca 2024 |
| Producent podatnego oprogramowania | Stackposts |
| Nazwa podatnego oprogramowania | Social Marketing Tool |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Stackposts Social Marketing Tool i koordynował proces ujawniania informacji.
Podatność CVE-2024-7127 typu Cross-site Scripting umożliwia przekazanie skryptu w polach formularza rejestracji, który później może być wykonany przez administratora podczas otwierania widoku listy użytkowników. Może to prowadzić do nieuprawnionego pozyskania informacji (np. plików cookie zalogowanego użytkownika).
Nie udało nam się skontaktować z producentem oprogramowania. Nasz zespół potwierdził występowanie tej podatności. Należy przypuszczać, że podatność występuje we wszystkich wersjach oprogramowania.
Podziękowania
Za zgłoszenie podatności dziękujemy Jakubowi Przepiórze.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.