Plateforme
other
Composant
lynx-customer-service-portal
Corrigé dans
3.5.3
Une vulnérabilité de cross-site scripting (XSS) stockée a été découverte dans le portail de service client LYNX (CSP) de Versiant. Cette faille permet à un attaquant authentifié, ayant un accès local, d'injecter du code JavaScript malveillant qui est ensuite stocké et affiché aux utilisateurs finaux. La vulnérabilité affecte les versions 3.5.2 du CSP et a été corrigée dans la version 3.5.3.
L'exploitation réussie de cette vulnérabilité XSS stockée peut avoir des conséquences significatives. Un attaquant peut injecter du code JavaScript malveillant qui s'exécute dans le contexte du navigateur de l'utilisateur. Cela peut permettre à l'attaquant de rediriger les utilisateurs vers des sites web malveillants, de voler leurs cookies de session (permettant potentiellement le détournement de session), ou d'extraire des informations sensibles affichées sur la page. La nature stockée de la vulnérabilité signifie que l'attaque peut être persistante, affectant tous les utilisateurs qui accèdent au contenu compromis. Bien que le CVSS score soit faible, l'impact sur la confidentialité et l'intégrité des données des utilisateurs reste préoccupant.
Cette vulnérabilité a été publiée le 30 mars 2020. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun proof-of-concept public n'a été largement diffusé. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison du score CVSS et de l'absence de PoC largement disponibles.
Organizations utilizing the Versiant LYNX Customer Service Portal version 3.5.2, particularly those with local authenticated users accessing sensitive data through the portal, are at risk. Environments with weak input validation or lacking WAF protection are especially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.31% (percentile 54%)
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau le LYNX Customer Service Portal vers la version 3.5.3 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement les fonctionnalités qui permettent aux utilisateurs de soumettre du contenu qui pourrait être injecté, si possible. La mise en œuvre de règles de filtrage strictes au niveau du pare-feu applicatif web (WAF) peut aider à bloquer les tentatives d'injection de code JavaScript malveillant. Surveillez attentivement les journaux d'accès et d'erreurs du serveur pour détecter des schémas suspects d'activité XSS.
Mettre à jour vers une version ultérieure à la 3.5.2 qui corrige la vulnérabilité XSS. Contacter le fournisseur (Versiant) pour obtenir la version corrigée ou un correctif de sécurité.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-9055 is a stored XSS vulnerability in Versiant LYNX Customer Service Portal versions 3.5.2, allowing authenticated attackers to inject malicious JavaScript.
If you are running Versiant LYNX Customer Service Portal version 3.5.2, you are potentially affected by this vulnerability.
Upgrade to version 3.5.3 or later to resolve the vulnerability. Implement input validation and output encoding as a temporary measure.
There is currently no evidence of active exploitation campaigns targeting CVE-2020-9055.
Refer to the Versiant security advisory for detailed information and updates regarding CVE-2020-9055.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.