Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu DInGO dLibra
14 listopada 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-7124
Data publikacji 14 listopada 2024
Producent podatnego oprogramowania Poznańskie Centrum Superkomputerowo-Sieciowe
Nazwa podatnego oprogramowania DInGO dLibra
Podatne wersje Od 6.0 do 6.3.20
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Poznańskiego Centrum Superkomputerowo-Sieciowego DInGO dLibra i koordynował proces ujawniania informacji.

Podatność CVE-2024-7124 w parametrze filter w endpoincie indexsearch umożliwia wykonanie skryptu w przeglądarce użytkownika, który zostanie nakłoniony przez atakującego do użycia spreparowanego linku. Podatność występuje w wersjach oprogramowania od 6.0 do wersji 6.3.20, w której została naprawiona.

Podziękowania

Za zgłoszenie podatności dziękujemy Kacprowi Rybczyńskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.