Katalog CVE

CVE-2024-36697

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Podatność XSS w panelu logowania administracyjnego Allworx System Software w wersji 9.1.9.12. Atakujący może wstrzyknąć złośliwy skrypt lub kod HTML poprzez parametr SessionID w zapytaniu do query.asp.

Ocena ryzyka

Ryzyko przejęcia sesji administratora, kradzieży danych uwierzytelniających lub wykonania nieautoryzowanych działań w systemie Allworx.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania Allworx do najnowszej dostępnej wersji oraz walidację i sanityzację parametru SessionID w query.asp.

Oryginalny opis (angielski, źródło NVD)

A cross-site scripting (XSS) vulnerability in the Admin Login page of Allworx System Software v9.1.9.12 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the SessionID parameter at query.asp.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS