Katalog CVE

CVE-2024-11986

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości wykonania złośliwego kodu w kontekście przeglądarki administratora, co może prowadzić do kradzieży danych lub przejęcia kontroli nad aplikacją.

Rekomendacja

Zaleca się poprawę walidacji i sanitizacji danych wejściowych w nagłówku 'Host', aby zapobiec wstrzykiwaniu złośliwego kodu do logów aplikacji.

Oryginalny opis (angielski, źródło NVD)

Improper input handling in the 'Host Header' allows an unauthenticated attacker to store a payload in web application logs. When an Administrator views the logs using the application's standard functionality, it enables the execution of the payload, resulting in Stored XSS or 'Cross-Site Scripting'.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS