CVE-2024-44778
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 - wyżej niż 48% wszystkich znanych CVE
Streszczenie
W systemie vTiger CRM 7.4.0 w parametrze 'parent' na stronie głównej występuje odbita podatność XSS. Umożliwia ona atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez wstrzyknięcie spreparowanego ładunku.
Ocena ryzyka
Atakujący może przejąć sesję użytkownika, wykraść dane lub przeprowadzić inne złośliwe działania w kontekście przeglądarki ofiary, co zagraża poufności i integralności danych w organizacji.
Rekomendacja
Należy natychmiast zaktualizować vTiger CRM do najnowszej wersji oraz zastosować filtrowanie i kodowanie danych wejściowych dla parametru 'parent' w celu zapobiegania atakom XSS.
Oryginalny opis (angielski, źródło NVD)
A reflected cross-site scripting (XSS) vulnerability in the parent parameter in the index page of vTiger CRM 7.4.0 allows attackers to execute arbitrary code in the context of a user's browser via injecting a crafted payload.

