Plateforme
other
Composant
buyspeed
Corrigé dans
14.5.1
La vulnérabilité CVE-2020-9056 est une faille de Cross-Site Scripting (XSS) stockée affectant BuySpeed version 14.5. Cette faille permet à un attaquant authentifié d'injecter du code JavaScript malveillant dans l'application. L'exécution de ce code dans le navigateur d'un utilisateur peut entraîner des conséquences graves, telles que la redirection vers des sites malveillants, le vol de sessions ou la divulgation d'informations sensibles. La version 15.3 de BuySpeed corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité XSS stockée peut insérer du code JavaScript malveillant dans BuySpeed. Ce code est ensuite affiché aux utilisateurs de l'application sans validation appropriée. Lorsqu'un utilisateur visite la page contenant le script injecté, le code JavaScript s'exécute dans son navigateur, permettant à l'attaquant de voler des cookies de session, de rediriger l'utilisateur vers un site web malveillant, ou d'effectuer d'autres actions malveillantes au nom de l'utilisateur. Le risque est accru si l'application BuySpeed est utilisée pour gérer des données sensibles ou des transactions financières, car l'attaquant pourrait potentiellement accéder à ces informations ou manipuler les transactions.
La vulnérabilité CVE-2020-9056 a été rendue publique le 10 avril 2020. Aucune exploitation active n'a été signalée publiquement à ce jour. Il n'y a pas d'entrée dans le catalogue KEV de CISA associée à cette CVE. L'exploitation de cette vulnérabilité nécessite une authentification préalable dans l'application BuySpeed, ce qui pourrait limiter son attrait pour les attaquants automatisés.
Organizations utilizing Periscope BuySpeed version 14.5, particularly those with local authenticated users accessing the application, are at risk. Shared hosting environments where multiple users share the same BuySpeed instance are also potentially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.30% (percentile 54%)
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau BuySpeed vers la version 15.3 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est recommandé de renforcer les mesures de sécurité de l'application. Cela peut inclure la mise en œuvre de politiques de sécurité de contenu (CSP) pour limiter les sources de scripts autorisées, la validation et l'échappement rigoureux de toutes les entrées utilisateur, et la surveillance attentive des journaux d'accès pour détecter toute activité suspecte. Si une mise à niveau immédiate n'est pas possible, envisagez de désactiver temporairement les fonctionnalités qui permettent aux utilisateurs de soumettre du contenu susceptible de contenir du code JavaScript.
Mettez à jour BuySpeed à la version 15.3 ou supérieure. Cette version contient la correction pour la vulnérabilité de Cross-Site Scripting (XSS) stockée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-9056 is a stored cross-site scripting vulnerability in Periscope BuySpeed version 14.5, allowing attackers to inject JavaScript code.
If you are using Periscope BuySpeed version 14.5, you are potentially affected and should upgrade immediately.
Upgrade to version 15.3 or later to resolve the vulnerability. Consider input validation and WAF rules as interim measures.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2020-9056.
Refer to the Periscope BuySpeed release notes and security advisories on the Periscope website for details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.