CVE-2024-36697
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Podatność XSS w panelu logowania administracyjnego Allworx System Software w wersji 9.1.9.12. Atakujący może wstrzyknąć złośliwy skrypt lub kod HTML poprzez parametr SessionID w zapytaniu do query.asp.
Ocena ryzyka
Ryzyko przejęcia sesji administratora, kradzieży danych uwierzytelniających lub wykonania nieautoryzowanych działań w systemie Allworx.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania Allworx do najnowszej dostępnej wersji oraz walidację i sanityzację parametru SessionID w query.asp.
Oryginalny opis (angielski, źródło NVD)
A cross-site scripting (XSS) vulnerability in the Admin Login page of Allworx System Software v9.1.9.12 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the SessionID parameter at query.asp.

