CVE-2024-11986
KrytyczneStreszczenie
Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości wykonania złośliwego kodu w kontekście przeglądarki administratora, co może prowadzić do kradzieży danych lub przejęcia kontroli nad aplikacją.
Rekomendacja
Zaleca się poprawę walidacji i sanitizacji danych wejściowych w nagłówku 'Host', aby zapobiec wstrzykiwaniu złośliwego kodu do logów aplikacji.
Oryginalny opis (angielski, źródło NVD)
Improper input handling in the 'Host Header' allows an unauthenticated attacker to store a payload in web application logs. When an Administrator views the logs using the application's standard functionality, it enables the execution of the payload, resulting in Stored XSS or 'Cross-Site Scripting'.

