Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu DirectAdmin Evolution Skin
20 grudnia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-10385
Data publikacji 20 grudnia 2024
Producent podatnego oprogramowania DirectAdmin
Nazwa podatnego oprogramowania DirectAdmin Evolution Skin
Podatne wersje Wszystkie do 1.668
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu DirectAdmin Evolution Skin i koordynował proces ujawniania informacji.

System zarządzania zgłoszeniami w DirectAdmin Evolution Skin zawierał podatność typu XSS (Cross-Site Scripting). Umożliwiało to użytkownikom o niskich uprawnieniach przechowywanie w zgłoszeniach szkodliwego kodu JavaScript. Jeśli administrator otworzył takie zgłoszenie, skrypt mógł wykorzystać wykonywać polecenia z jego uprawnieniami.

Problem, oznaczony jako CVE-2024-10385, został rozwiązany w wersji 1.668 oprogramowania DirectAdmin Evolution Skin.

Podziękowania

Za zgłoszenie podatności dziękujemy Dariuszowi Gońda.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.