CVE-2024-11986
CriticalSummary
Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).
Risk Assessment
Ryzyko dla organizacji polega na możliwości wykonania złośliwego kodu w kontekście przeglądarki administratora, co może prowadzić do kradzieży danych lub przejęcia kontroli nad aplikacją.
Recommendation
Zaleca się poprawę walidacji i sanitizacji danych wejściowych w nagłówku 'Host', aby zapobiec wstrzykiwaniu złośliwego kodu do logów aplikacji.
Original NVD description (English source)
Improper input handling in the 'Host Header' allows an unauthenticated attacker to store a payload in web application logs. When an Administrator views the logs using the application's standard functionality, it enables the execution of the payload, resulting in Stored XSS or 'Cross-Site Scripting'.

