Informazioni sul CVE-2024-45031

Apache Syncope: Stored XSS in Console and Enduser

CWE ID: CWE-20

Base Score (CVSS): N/A

CVE: CVE-2024-45031

Descrizione: When editing objects in the Syncope Console, incomplete HTML tags could be used to bypass HTML sanitization. This made it possible to inject stored XSS payloads which would trigger for other users during ordinary usage of the application. XSS payloads could also be injected in Syncope Enduser when editing “Personal Information” or “User Requests”: such payloads would trigger for administrators in Syncope Console, thus enabling session hijacking. Users are recommended to upgrade to version 3.0.9, which fixes this issue.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://lists.apache.org/thread/fn567pfmo3s55ofkc42drz8b4kgbhp9m

Prodotti interessati

Apache Software Foundation – Apache Syncope

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Syncope
Anno: 2024
CWE: CWE-20
CVSS: 0.0