Katalog CVE

CVE-2024-44779

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.73%

Percentyl 50 - wyżej niż 50% wszystkich znanych CVE

Streszczenie

W systemie vTiger CRM 7.4.0 wykryto podatność na odbity atak XSS w parametrze viewname na stronie głównej. Umożliwia ona atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez wstrzyknięcie spreparowanego ładunku.

Ocena ryzyka

Atakujący może przejąć sesję użytkownika, wykraść dane wrażliwe lub przeprowadzić inne złośliwe działania w kontekście przeglądarki ofiary, co zagraża poufności i integralności danych w organizacji.

Rekomendacja

Należy natychmiast zaktualizować vTiger CRM do najnowszej wersji, która zawiera poprawkę dla tej podatności. Do czasu aktualizacji zaleca się walidację i sanityzację parametru viewname po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

A reflected cross-site scripting (XSS) vulnerability in the viewname parameter in the index page of vTiger CRM 7.4.0 allows attackers to execute arbitrary code in the context of a user's browser via injecting a crafted payload.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS