Informazioni sul CVE-2024-28112
Cross site scripting on router page in Peering Manager
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-28112
Descrizione: Il Manager di Peer è uno strumento di gestione delle sessioni BGP. Versioni danneggiate del Manager di Peer sono soggette a un potenziale attacco di Cross-Site Scripting (XSS) nell’attributo `name` di AS o Platform. L’attacco XSS si attiva su una pagina di dettaglio del router. Gli attaccanti possono eseguire codice JavaScript arbitrario con il permesso di un utente. Gli attacchi XSS vengono spesso utilizzati per rubare credenziali o token di accesso di altri utenti. Questo problema è stato risolto in versione 1.8.3. Gli utenti sono consigliati di aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/peering-manager/peering-manager/security/advisories/GHSA-fmf5-24pq-rq2w
- https://owasp.org/www-community/attacks/xss
Prodotti interessati
- peering-manager – peering-manager
Relazioni con altri prodotti
Produttore:peering-manager
Prodotto: peering-manager
Anno: 2024
CWE: CWE-79
CVSS: 0.0