CVE-2024-44777
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 - wyżej niż 48% wszystkich znanych CVE
Streszczenie
W systemie vTiger CRM 7.4.0 wykryto podatność na odbity atak XSS w parametrze 'tag' na stronie głównej. Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarce ofiary.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży sesji użytkownika, przechwycenia danych lub wykonania nieautoryzowanych działań w kontekście zalogowanego administratora lub pracownika.
Rekomendacja
Należy natychmiast zaktualizować vTiger CRM do najnowszej wersji oraz zastosować filtrowanie i kodowanie danych wejściowych dla parametru 'tag'.
Oryginalny opis (angielski, źródło NVD)
A reflected cross-site scripting (XSS) vulnerability in the tag parameter in the index page of vTiger CRM 7.4.0 allows attackers to execute arbitrary code in the context of a user's browser via injecting a crafted payload.

